Dans les rapports logwatch concernant iptables, j'ai de temps en temps
des ip privés qui envoient des paquets vers des ports de ma machine:
--------------------- iptables firewall Begin
Listed by source hosts:
Logged 91 packets on interface enp3s0
<couic>
From 10.187.5.127 - 6 packets to udp(56386)
From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
Comment de telles adresses peuvent-elles se retrouver derrière le
firewall de ma box (je suppose que les box ont un firewall), comment
sont-elles arrivées jusqu'Í la box car, pour ce que j'en sait, ces ip ne
sont pas routables sur internet.
Bonjour, Dans les rapports logwatch concernant iptables, j'ai de temps en temps des ip privés qui envoient des paquets vers des ports de ma machine: --------------------- iptables firewall Begin Listed by source hosts: Logged 91 packets on interface enp3s0 <couic> From 10.187.5.127 - 6 packets to udp(56386) From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
10.x.x.x c'est aussi des IP "privées". Quel type de box ? Il se peut que le FAI fasse du "partage d'IP" entre plusieurs clients... -- Serge http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Le 10/09/2022 Í 09:55, François Patte a écrit :
Bonjour,
Dans les rapports logwatch concernant iptables, j'ai de temps en temps des ip privés qui envoient des paquets vers des ports de ma machine:
--------------------- iptables firewall Begin
Listed by source hosts:
Logged 91 packets on interface enp3s0
<couic>
From 10.187.5.127 - 6 packets to udp(56386)
From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
10.x.x.x c'est aussi des IP "privées".
Quel type de box ? Il se peut que le FAI fasse du "partage d'IP" entre plusieurs clients...
--
Serge http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Bonjour, Dans les rapports logwatch concernant iptables, j'ai de temps en temps des ip privés qui envoient des paquets vers des ports de ma machine: --------------------- iptables firewall Begin Listed by source hosts: Logged 91 packets on interface enp3s0 <couic> From 10.187.5.127 - 6 packets to udp(56386) From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
10.x.x.x c'est aussi des IP "privées". Quel type de box ? Il se peut que le FAI fasse du "partage d'IP" entre plusieurs clients... -- Serge http://cahierdesergio.free.fr/ Soutenez le libre: http://www.framasoft.org
Fran=c3=a7ois Patte
Le 10/09/2022 Í 10:37, Sergio a écrit :
Le 10/09/2022 Í 09:55, François Patte a écrit :
Bonjour, Dans les rapports logwatch concernant iptables, j'ai de temps en temps des ip privés qui envoient des paquets vers des ports de ma machine: --------------------- iptables firewall Begin Listed by source hosts: Logged 91 packets on interface enp3s0 <couic> Â From 10.187.5.127 - 6 packets to udp(56386) Â From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
10.x.x.x c'est aussi des IP "privées".
Je ne comprends pas la remarque.
Quel type de box ? Il se peut que le FAI fasse du "partage d'IP" entre plusieurs clients...
orange. -- François Patte Université Paris Descartes
Le 10/09/2022 Í 10:37, Sergio a écrit :
Le 10/09/2022 Í 09:55, François Patte a écrit :
Bonjour,
Dans les rapports logwatch concernant iptables, j'ai de temps en temps
des ip privés qui envoient des paquets vers des ports de ma machine:
--------------------- iptables firewall Begin
Listed by source hosts:
Logged 91 packets on interface enp3s0
<couic>
 From 10.187.5.127 - 6 packets to udp(56386)
 From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
10.x.x.x c'est aussi des IP "privées".
Je ne comprends pas la remarque.
Quel type de box ? Il se peut que le FAI fasse du "partage d'IP" entre
plusieurs clients...
Bonjour, Dans les rapports logwatch concernant iptables, j'ai de temps en temps des ip privés qui envoient des paquets vers des ports de ma machine: --------------------- iptables firewall Begin Listed by source hosts: Logged 91 packets on interface enp3s0 <couic> Â From 10.187.5.127 - 6 packets to udp(56386) Â From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
10.x.x.x c'est aussi des IP "privées".
Je ne comprends pas la remarque.
Quel type de box ? Il se peut que le FAI fasse du "partage d'IP" entre plusieurs clients...
orange. -- François Patte Université Paris Descartes
Eric Masson
François Patte writes: 'Lut,
orange.
Orange utilise des adresses RFC1918 sur son infra interne Un traceroute depuis chez moi : :~ % traceroute www.google.com traceroute to www.google.com (142.250.178.132), 64 hops max, 40 byte packets 1 lanrouter (192.168.85.15) 0.419 ms 0.316 ms 0.338 ms 2 radius.lnmso658.lnmso658.rbci.orange.net (80.10.115.224) 23.949 ms 23.885 ms 24.333 ms 3 10.123.235.22 (10.123.235.22) 23.979 ms 27.353 ms 23.847 ms 4 ae46-0.niidf202.rbci.orange.net (193.252.98.253) 24.067 ms Toute interaction avec une de ces machines (CGNAT, icmp, autres) peut donc générer des logs de rejet sur un routeur qui filtre les paquets issus d'adresses RFC1918. -- J'arrête pas d'essayer de m'abonner au mailing list sur la Nippon animation, mais le machin auromatique MAJORDOMO me renvoit toujours la même foutu page d'instruction de code. Comment ca marche ? -+- W in Guide du Neuneu d'Usenet : Mauvais abonné, changer d'abonné -+-
François Patte <francois.patte@mi.parisdescartes.fr> writes:
'Lut,
orange.
Orange utilise des adresses RFC1918 sur son infra interne
Un traceroute depuis chez moi :
user@machine:~ % traceroute www.google.com
traceroute to www.google.com (142.250.178.132), 64 hops max, 40 byte packets
1 lanrouter (192.168.85.15) 0.419 ms 0.316 ms 0.338 ms
2 radius.lnmso658.lnmso658.rbci.orange.net (80.10.115.224) 23.949 ms 23.885 ms 24.333 ms
3 10.123.235.22 (10.123.235.22) 23.979 ms 27.353 ms 23.847 ms
4 ae46-0.niidf202.rbci.orange.net (193.252.98.253) 24.067 ms
Toute interaction avec une de ces machines (CGNAT, icmp, autres) peut
donc générer des logs de rejet sur un routeur qui filtre les paquets
issus d'adresses RFC1918.
--
J'arrête pas d'essayer de m'abonner au mailing list sur la Nippon
animation, mais le machin auromatique MAJORDOMO me renvoit toujours la
même foutu page d'instruction de code. Comment ca marche ?
-+- W in Guide du Neuneu d'Usenet : Mauvais abonné, changer d'abonné -+-
Orange utilise des adresses RFC1918 sur son infra interne Un traceroute depuis chez moi : :~ % traceroute www.google.com traceroute to www.google.com (142.250.178.132), 64 hops max, 40 byte packets 1 lanrouter (192.168.85.15) 0.419 ms 0.316 ms 0.338 ms 2 radius.lnmso658.lnmso658.rbci.orange.net (80.10.115.224) 23.949 ms 23.885 ms 24.333 ms 3 10.123.235.22 (10.123.235.22) 23.979 ms 27.353 ms 23.847 ms 4 ae46-0.niidf202.rbci.orange.net (193.252.98.253) 24.067 ms Toute interaction avec une de ces machines (CGNAT, icmp, autres) peut donc générer des logs de rejet sur un routeur qui filtre les paquets issus d'adresses RFC1918. -- J'arrête pas d'essayer de m'abonner au mailing list sur la Nippon animation, mais le machin auromatique MAJORDOMO me renvoit toujours la même foutu page d'instruction de code. Comment ca marche ? -+- W in Guide du Neuneu d'Usenet : Mauvais abonné, changer d'abonné -+-
Pascal Hambourg
Le 10/09/2022 Í 12:15, Eric Masson a écrit :
Orange utilise des adresses RFC1918 sur son infra interne Un traceroute depuis chez moi : :~ % traceroute www.google.com traceroute to www.google.com (142.250.178.132), 64 hops max, 40 byte packets 1 lanrouter (192.168.85.15) 0.419 ms 0.316 ms 0.338 ms 2 radius.lnmso658.lnmso658.rbci.orange.net (80.10.115.224) 23.949 ms 23.885 ms 24.333 ms 3 10.123.235.22 (10.123.235.22) 23.979 ms 27.353 ms 23.847 ms
J'ai du mal Í qualifier d'"interne" une infra qui transporte le trafic entre le réseau local du client et l'internet public, Í moins de considérer que le réseau local du client appartient Í Orange avec tout ce que ça implique.
Le 10/09/2022 Í 12:15, Eric Masson a écrit :
Orange utilise des adresses RFC1918 sur son infra interne
Un traceroute depuis chez moi :
user@machine:~ % traceroute www.google.com
traceroute to www.google.com (142.250.178.132), 64 hops max, 40 byte packets
1 lanrouter (192.168.85.15) 0.419 ms 0.316 ms 0.338 ms
2 radius.lnmso658.lnmso658.rbci.orange.net (80.10.115.224) 23.949 ms 23.885 ms 24.333 ms
3 10.123.235.22 (10.123.235.22) 23.979 ms 27.353 ms 23.847 ms
J'ai du mal Í qualifier d'"interne" une infra qui transporte le trafic
entre le réseau local du client et l'internet public, Í moins de
considérer que le réseau local du client appartient Í Orange avec tout
ce que ça implique.
Orange utilise des adresses RFC1918 sur son infra interne Un traceroute depuis chez moi : :~ % traceroute www.google.com traceroute to www.google.com (142.250.178.132), 64 hops max, 40 byte packets 1 lanrouter (192.168.85.15) 0.419 ms 0.316 ms 0.338 ms 2 radius.lnmso658.lnmso658.rbci.orange.net (80.10.115.224) 23.949 ms 23.885 ms 24.333 ms 3 10.123.235.22 (10.123.235.22) 23.979 ms 27.353 ms 23.847 ms
J'ai du mal Í qualifier d'"interne" une infra qui transporte le trafic entre le réseau local du client et l'internet public, Í moins de considérer que le réseau local du client appartient Í Orange avec tout ce que ça implique.
Eric Masson
Pascal Hambourg writes: 'Lut,
J'ai du mal Í qualifier d'"interne" une infra qui transporte le trafic entre le réseau local du client et l'internet public, Í moins de considérer que le réseau local du client appartient Í Orange avec tout ce que ça implique.
Sur le fond, je suis d'accord. Dans les faits, les offres Orange grand public tiennent plus du Minitel 2.0 que d'un véritable accès Internet complet. -- LC> A la différence de certains, je lis les articles. C'est tout. Oui, on sait. BientÍ´t, les noms, puis les adjectifs, puis les verbes. Avec un peu de patience, dans quelques années, une phrase entière. -+- LW in <www.le-gnu.net> : Moi-je nous fait l'article-+-
Pascal Hambourg <pascal@plouf.fr.eu.org> writes:
'Lut,
J'ai du mal Í qualifier d'"interne" une infra qui transporte le trafic
entre le réseau local du client et l'internet public, Í moins de
considérer que le réseau local du client appartient Í Orange avec tout
ce que ça implique.
Sur le fond, je suis d'accord.
Dans les faits, les offres Orange grand public tiennent plus du Minitel
2.0 que d'un véritable accès Internet complet.
--
LC> A la différence de certains, je lis les articles. C'est tout.
Oui, on sait. BientÍ´t, les noms, puis les adjectifs, puis les verbes.
Avec un peu de patience, dans quelques années, une phrase entière.
-+- LW in <www.le-gnu.net> : Moi-je nous fait l'article-+-
J'ai du mal Í qualifier d'"interne" une infra qui transporte le trafic entre le réseau local du client et l'internet public, Í moins de considérer que le réseau local du client appartient Í Orange avec tout ce que ça implique.
Sur le fond, je suis d'accord. Dans les faits, les offres Orange grand public tiennent plus du Minitel 2.0 que d'un véritable accès Internet complet. -- LC> A la différence de certains, je lis les articles. C'est tout. Oui, on sait. BientÍ´t, les noms, puis les adjectifs, puis les verbes. Avec un peu de patience, dans quelques années, une phrase entière. -+- LW in <www.le-gnu.net> : Moi-je nous fait l'article-+-
Fran=c3=a7ois Patte
Le 12/09/2022 Í 12:04, Eric Masson a écrit :
Pascal Hambourg writes: 'Lut,
J'ai du mal Í qualifier d'"interne" une infra qui transporte le trafic entre le réseau local du client et l'internet public, Í moins de considérer que le réseau local du client appartient Í Orange avec tout ce que ça implique.
Sur le fond, je suis d'accord. Dans les faits, les offres Orange grand public tiennent plus du Minitel 2.0 que d'un véritable accès Internet complet.
? Quelque peu nébuleux comme réponse... Et le fait que sur la route on rencontre des IP 10.x.x.x quand on traverse le réseau d'orange n'explique pas comment des IP de ce type envoient des paquets vers de ports d'une machine sur le réseau situé derrière la box d'orange, en ayant donc été routés sur l'internet public. -- François Patte Université Paris Descartes
Le 12/09/2022 Í 12:04, Eric Masson a écrit :
Pascal Hambourg <pascal@plouf.fr.eu.org> writes:
'Lut,
J'ai du mal Í qualifier d'"interne" une infra qui transporte le trafic
entre le réseau local du client et l'internet public, Í moins de
considérer que le réseau local du client appartient Í Orange avec tout
ce que ça implique.
Sur le fond, je suis d'accord.
Dans les faits, les offres Orange grand public tiennent plus du Minitel
2.0 que d'un véritable accès Internet complet.
? Quelque peu nébuleux comme réponse...
Et le fait que sur la route on rencontre des IP 10.x.x.x quand on
traverse le réseau d'orange n'explique pas comment des IP de ce type
envoient des paquets vers de ports d'une machine sur le réseau situé
derrière la box d'orange, en ayant donc été routés sur l'internet public.
J'ai du mal Í qualifier d'"interne" une infra qui transporte le trafic entre le réseau local du client et l'internet public, Í moins de considérer que le réseau local du client appartient Í Orange avec tout ce que ça implique.
Sur le fond, je suis d'accord. Dans les faits, les offres Orange grand public tiennent plus du Minitel 2.0 que d'un véritable accès Internet complet.
? Quelque peu nébuleux comme réponse... Et le fait que sur la route on rencontre des IP 10.x.x.x quand on traverse le réseau d'orange n'explique pas comment des IP de ce type envoient des paquets vers de ports d'une machine sur le réseau situé derrière la box d'orange, en ayant donc été routés sur l'internet public. -- François Patte Université Paris Descartes
Pascal Hambourg
Le 10/09/2022 Í 09:55, François Patte a écrit :
Dans les rapports logwatch concernant iptables, j'ai de temps en temps des ip privés qui envoient des paquets vers des ports de ma machine: --------------------- iptables firewall Begin Listed by source hosts: Logged 91 packets on interface enp3s0 <couic> From 10.187.5.127 - 6 packets to udp(56386) From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
Est-il possible de voir les messages d'iptables correspondants dans les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la machine qui seraient mal interprétés par logwatch ?
Le 10/09/2022 Í 09:55, François Patte a écrit :
Dans les rapports logwatch concernant iptables, j'ai de temps en temps
des ip privés qui envoient des paquets vers des ports de ma machine:
--------------------- iptables firewall Begin
Listed by source hosts:
Logged 91 packets on interface enp3s0
<couic>
From 10.187.5.127 - 6 packets to udp(56386)
From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
Est-il possible de voir les messages d'iptables correspondants dans les
logs du noyau pour voir si ce sont vraiment des paquets UDP ou des
paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la
machine qui seraient mal interprétés par logwatch ?
Dans les rapports logwatch concernant iptables, j'ai de temps en temps des ip privés qui envoient des paquets vers des ports de ma machine: --------------------- iptables firewall Begin Listed by source hosts: Logged 91 packets on interface enp3s0 <couic> From 10.187.5.127 - 6 packets to udp(56386) From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
Est-il possible de voir les messages d'iptables correspondants dans les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la machine qui seraient mal interprétés par logwatch ?
Fran=c3=a7ois Patte
Le 12/09/2022 Í 14:40, Pascal Hambourg a écrit :
Le 10/09/2022 Í 09:55, François Patte a écrit :
Dans les rapports logwatch concernant iptables, j'ai de temps en temps des ip privés qui envoient des paquets vers des ports de ma machine: --------------------- iptables firewall Begin Listed by source hosts: Logged 91 packets on interface enp3s0 <couic> Â From 10.187.5.127 - 6 packets to udp(56386) Â From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
Est-il possible de voir les messages d'iptables correspondants dans les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la machine qui seraient mal interprétés par logwatch ?
Dans les rapports logwatch concernant iptables, j'ai de temps en temps
des ip privés qui envoient des paquets vers des ports de ma machine:
--------------------- iptables firewall Begin
Listed by source hosts:
Logged 91 packets on interface enp3s0
<couic>
 From 10.187.5.127 - 6 packets to udp(56386)
 From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
Est-il possible de voir les messages d'iptables correspondants dans les
logs du noyau pour voir si ce sont vraiment des paquets UDP ou des
paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la
machine qui seraient mal interprétés par logwatch ?
Dans les rapports logwatch concernant iptables, j'ai de temps en temps des ip privés qui envoient des paquets vers des ports de ma machine: --------------------- iptables firewall Begin Listed by source hosts: Logged 91 packets on interface enp3s0 <couic> Â From 10.187.5.127 - 6 packets to udp(56386) Â From 10.95.90.201 - 9 packets to udp(44869,49924,57148)
Est-il possible de voir les messages d'iptables correspondants dans les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la machine qui seraient mal interprétés par logwatch ?
Est-il possible de voir les messages d'iptables correspondants dans les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la machine qui seraient mal interprétés par logwatch ?
Ce sont bien des paquets UDP. Pas de port connu. Même longueur. L'adresse MAC source 48:fd:a3:b2:d6:02 est bien celle de la box ?
Le 12/09/2022 Í 16:28, François Patte a écrit :
Le 12/09/2022 Í 14:40, Pascal Hambourg a écrit :
Est-il possible de voir les messages d'iptables correspondants dans
les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des
paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la
machine qui seraient mal interprétés par logwatch ?
Est-il possible de voir les messages d'iptables correspondants dans les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la machine qui seraient mal interprétés par logwatch ?
Ce sont bien des paquets UDP. Pas de port connu. Même longueur. L'adresse MAC source 48:fd:a3:b2:d6:02 est bien celle de la box ?
Fran=c3=a7ois Patte
Le 12/09/2022 Í 17:38, Pascal Hambourg a écrit :
Le 12/09/2022 Í 16:28, François Patte a écrit :
Le 12/09/2022 Í 14:40, Pascal Hambourg a écrit :
Est-il possible de voir les messages d'iptables correspondants dans les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la machine qui seraient mal interprétés par logwatch ?
Ce sont bien des paquets UDP. Pas de port connu. Même longueur. L'adresse MAC source 48:fd:a3:b2:d6:02 est bien celle de la box ?
Non mais celle d'un portable! Et d4:5d:64:ab:7f:5f celle de l'ordi qui jette ces paquets "privés"... Qu'en conclure? -- François Patte Université Paris Descartes
Le 12/09/2022 Í 17:38, Pascal Hambourg a écrit :
Le 12/09/2022 Í 16:28, François Patte a écrit :
Le 12/09/2022 Í 14:40, Pascal Hambourg a écrit :
Est-il possible de voir les messages d'iptables correspondants dans
les logs du noyau pour voir si ce sont vraiment des paquets UDP ou
des paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par
la machine qui seraient mal interprétés par logwatch ?
Est-il possible de voir les messages d'iptables correspondants dans les logs du noyau pour voir si ce sont vraiment des paquets UDP ou des paquets d'erreur ICMP reçus en réponse Í des paquets UDP émis par la machine qui seraient mal interprétés par logwatch ?
Ce sont bien des paquets UDP. Pas de port connu. Même longueur. L'adresse MAC source 48:fd:a3:b2:d6:02 est bien celle de la box ?
Non mais celle d'un portable! Et d4:5d:64:ab:7f:5f celle de l'ordi qui jette ces paquets "privés"... Qu'en conclure? -- François Patte Université Paris Descartes
