contexte : quelques machines GNU/Linux et une LiveBox autour d'un
switch 10/100. Arpwtach tourne sur une machine
Hier un message très inhabituel :
From: arpwatch@pollux.frmug.org (Arpwatch pollux)
To: root@pollux.frmug.org
Subject: new station (APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr) eth0
Date: Fri, 9 Nov 2007 00:57:04 +0100 (CET)
hostname: APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr
ip address: 90.16.243.60
interface: eth0
ethernet address: 0:16:ae:19:f9:d2
ethernet vendor: <unknown>
timestamp: Friday, November 9, 2007 0:57:02 +0100
Habituellement ArpWatch ne memontre que les nouveaux hosts du
réseau local en 192.168.1.0 et jamais des adresses publiques.
C'est l'adresse MAC de la Livebox ? Tu peux savoir si c'était dans une requête ARP ou une réponse ARP ?
Habituellement ArpWatch ne memontre que les nouveaux hosts du réseau local en 192.168.1.0 et jamais des adresses publiques.
Une explication ?
Si la réponse à mes deux premières question est oui et si la pile IP de la Livebox suit le modèle "faible" (weak model), elle peut utiliser son adresse WAN sur son interface LAN, et notamment dans son trafic ARP.
Salut,
contexte : quelques machines GNU/Linux et une LiveBox autour d'un
switch 10/100. Arpwtach tourne sur une machine
Hier un message très inhabituel :
From: arpwatch@pollux.frmug.org (Arpwatch pollux)
To: root@pollux.frmug.org
Subject: new station (APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr) eth0
Date: Fri, 9 Nov 2007 00:57:04 +0100 (CET)
C'est aujourd'hui, ça. ;-)
hostname: APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr
ip address: 90.16.243.60
C'était l'adresse IP publique du moment de la Livebox ?
C'est l'adresse MAC de la Livebox ?
Tu peux savoir si c'était dans une requête ARP ou une réponse ARP ?
Habituellement ArpWatch ne memontre que les nouveaux hosts du
réseau local en 192.168.1.0 et jamais des adresses publiques.
Une explication ?
Si la réponse à mes deux premières question est oui et si la pile IP de
la Livebox suit le modèle "faible" (weak model), elle peut utiliser son
adresse WAN sur son interface LAN, et notamment dans son trafic ARP.
C'est l'adresse MAC de la Livebox ? Tu peux savoir si c'était dans une requête ARP ou une réponse ARP ?
Habituellement ArpWatch ne memontre que les nouveaux hosts du réseau local en 192.168.1.0 et jamais des adresses publiques.
Une explication ?
Si la réponse à mes deux premières question est oui et si la pile IP de la Livebox suit le modèle "faible" (weak model), elle peut utiliser son adresse WAN sur son interface LAN, et notamment dans son trafic ARP.
jacques
Le Fri, 09 Nov 2007 11:51:14 +0100,
Salut,
Bonjour Pascal,
Hier un message très inhabituel :
Subject: new station (APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr) eth0 Date: Fri, 9 Nov 2007 00:57:04 +0100 (CET)
C'est aujourd'hui, ça. ;-)
Oui, mais c'est hier car j'ai dormi depuis :)
hostname: APoitiers-256-1-108-60.w90-16.abo.wanadoo.fr ip address: 90.16.243.60
C'était l'adresse IP publique du moment de la Livebox ?
~$ arp -a WANADOO-F9D0 (192.168.1.1) à 00:16:AE:19:F9:D2 [ether] sur eth0 pollux (192.168.1.201) à 00:01:03:04:51:44 [ether] sur eth0
Tu peux savoir si c'était dans une requête ARP ou une réponse ARP ?
Je ne sais pas dire...
Si la réponse à mes deux premières question est oui et si la pile IP de la Livebox suit le modèle "faible" (weak model), elle peut utiliser son adresse WAN sur son interface LAN, et notamment dans son trafic ARP.
Une piste : à l'heure où ArpWatch a émis ce message là je faisais d'un poste du LAN des requêtes HTTP sur l'adresse publique de la LBox
~$ arp -a
WANADOO-F9D0 (192.168.1.1) à 00:16:AE:19:F9:D2 [ether] sur eth0
pollux (192.168.1.201) à 00:01:03:04:51:44 [ether] sur eth0
Tu peux savoir si c'était dans une requête ARP ou une réponse ARP ?
Je ne sais pas dire...
Si la réponse à mes deux premières question est oui et si la pile IP
de la Livebox suit le modèle "faible" (weak model), elle peut
utiliser son adresse WAN sur son interface LAN, et notamment dans son
trafic ARP.
Une piste : à l'heure où ArpWatch a émis ce message là je faisais
d'un poste du LAN des requêtes HTTP sur l'adresse publique de la LBox
~$ arp -a WANADOO-F9D0 (192.168.1.1) à 00:16:AE:19:F9:D2 [ether] sur eth0 pollux (192.168.1.201) à 00:01:03:04:51:44 [ether] sur eth0
Tu peux savoir si c'était dans une requête ARP ou une réponse ARP ?
Je ne sais pas dire...
Si la réponse à mes deux premières question est oui et si la pile IP de la Livebox suit le modèle "faible" (weak model), elle peut utiliser son adresse WAN sur son interface LAN, et notamment dans son trafic ARP.
Une piste : à l'heure où ArpWatch a émis ce message là je faisais d'un poste du LAN des requêtes HTTP sur l'adresse publique de la LBox
On Fri, 09 Nov 2007 11:51:14 +0100, Pascal Hambourg wrote:
si la pile IP de la Livebox suit le modèle "faible" (weak model)
C'est quoi ?
Je découvre...
http://en.wikipedia.org/wiki/Host_model
Jacques
newsreader
On Fri, 09 Nov 2007 11:51:14 +0100, Pascal Hambourg wrote:
si la pile IP de la Livebox suit le modèle "faible" (weak model)
C'est quoi ?
Suivre le weak model, c'est accepter les paquets destinés à l'une des IPs de la machine, quelle que soit l'interface par laquelles ces paquets arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source ou destination).
Sous les systèmes linux et BSD, c'est le comportement par défaut. Il faut d'ailleurs à l'occasion que je trouve comment le désactiver autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs sur mon serveur qui ne me plaisent pas.
Lolotte -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
On Fri, 09 Nov 2007 11:51:14 +0100, Pascal Hambourg
<boite-a-spam@plouf.fr.eu.org> wrote:
si la pile IP de
la Livebox suit le modèle "faible" (weak model)
C'est quoi ?
Suivre le weak model, c'est accepter les paquets destinés à l'une des IPs
de la machine, quelle que soit l'interface par laquelles ces paquets
arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source ou
destination).
Sous les systèmes linux et BSD, c'est le comportement par défaut. Il faut
d'ailleurs à l'occasion que je trouve comment le désactiver autrement
qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs sur mon
serveur qui ne me plaisent pas.
Lolotte
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
On Fri, 09 Nov 2007 11:51:14 +0100, Pascal Hambourg wrote:
si la pile IP de la Livebox suit le modèle "faible" (weak model)
C'est quoi ?
Suivre le weak model, c'est accepter les paquets destinés à l'une des IPs de la machine, quelle que soit l'interface par laquelles ces paquets arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source ou destination).
Sous les systèmes linux et BSD, c'est le comportement par défaut. Il faut d'ailleurs à l'occasion que je trouve comment le désactiver autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs sur mon serveur qui ne me plaisent pas.
Lolotte -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
Pascal Hambourg
si la pile IP de la Livebox suit le modèle "faible" (weak model)
C'est quoi ?
<http://en.wikipedia.org/wiki/Host_model> (Rien trouvé en français en moins de 20 secondes, désolé)
si la pile IP de la Livebox suit le modèle "faible" (weak model)
C'est quoi ?
<http://en.wikipedia.org/wiki/Host_model>
(Rien trouvé en français en moins de 20 secondes, désolé)
si la pile IP de la Livebox suit le modèle "faible" (weak model)
C'est quoi ?
<http://en.wikipedia.org/wiki/Host_model> (Rien trouvé en français en moins de 20 secondes, désolé)
Pascal Hambourg
Suivre le weak model, c'est accepter les paquets destinés à l'une des IPs de la machine, quelle que soit l'interface par laquelles ces paquets arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source ou destination).
Sous les systèmes linux et BSD, c'est le comportement par défaut. Il faut d'ailleurs à l'occasion que je trouve comment le désactiver autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs sur mon serveur qui ne me plaisent pas.
Oui, dans les sysctls en ce qui concerne Linux. Voir du côté des /proc/sys/net/ipv4/conf/*/arp_*. Cf. networking/ip-sysctl.txt dans la doc des sources du noyau.
Suivre le weak model, c'est accepter les paquets destinés à l'une des
IPs de la machine, quelle que soit l'interface par laquelles ces paquets
arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source
ou destination).
Sous les systèmes linux et BSD, c'est le comportement par défaut. Il
faut d'ailleurs à l'occasion que je trouve comment le désactiver
autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs
sur mon serveur qui ne me plaisent pas.
Oui, dans les sysctls en ce qui concerne Linux. Voir du côté des
/proc/sys/net/ipv4/conf/*/arp_*. Cf. networking/ip-sysctl.txt dans la
doc des sources du noyau.
Suivre le weak model, c'est accepter les paquets destinés à l'une des IPs de la machine, quelle que soit l'interface par laquelles ces paquets arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source ou destination).
Sous les systèmes linux et BSD, c'est le comportement par défaut. Il faut d'ailleurs à l'occasion que je trouve comment le désactiver autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs sur mon serveur qui ne me plaisent pas.
Oui, dans les sysctls en ce qui concerne Linux. Voir du côté des /proc/sys/net/ipv4/conf/*/arp_*. Cf. networking/ip-sysctl.txt dans la doc des sources du noyau.
newsreader
Suivre le weak model, c'est accepter les paquets destinés à l'une des IPs de la machine, quelle que soit l'interface par laquelles ces paquets arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source ou destination).
Sous les systèmes linux et BSD, c'est le comportement par défaut. Il faut d'ailleurs à l'occasion que je trouve comment le désactiver autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs sur mon serveur qui ne me plaisent pas.
Oui, dans les sysctls en ce qui concerne Linux. Voir du côté des /proc/sys/net/ipv4/conf/*/arp_*. Cf. networking/ip-sysctl.txt dans la doc des sources du noyau.
impec' avec /proc/sys/net/ipv4/conf/*/arp_filter
Merci
Lolotte -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
Suivre le weak model, c'est accepter les paquets destinés à l'une des
IPs de la machine, quelle que soit l'interface par laquelles ces paquets
arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source
ou destination).
Sous les systèmes linux et BSD, c'est le comportement par défaut. Il
faut d'ailleurs à l'occasion que je trouve comment le désactiver
autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs
sur mon serveur qui ne me plaisent pas.
Oui, dans les sysctls en ce qui concerne Linux. Voir du côté des
/proc/sys/net/ipv4/conf/*/arp_*. Cf. networking/ip-sysctl.txt dans la
doc des sources du noyau.
impec' avec /proc/sys/net/ipv4/conf/*/arp_filter
Merci
Lolotte
--
(enlever pasdespam pour répondre)
http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups,
recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
Suivre le weak model, c'est accepter les paquets destinés à l'une des IPs de la machine, quelle que soit l'interface par laquelles ces paquets arrivent (à l'exception des paquets avec 127.0.0.* comme adresse source ou destination).
Sous les systèmes linux et BSD, c'est le comportement par défaut. Il faut d'ailleurs à l'occasion que je trouve comment le désactiver autrement qu'avec Netfilter (dans les proc ?) parce que j'ai des trucs sur mon serveur qui ne me plaisent pas.
Oui, dans les sysctls en ce qui concerne Linux. Voir du côté des /proc/sys/net/ipv4/conf/*/arp_*. Cf. networking/ip-sysctl.txt dans la doc des sources du noyau.
impec' avec /proc/sys/net/ipv4/conf/*/arp_filter
Merci
Lolotte -- (enlever pasdespam pour répondre) http://www.dansmongrenier.com/ : les pages du manuel, les newsgroups, recherche whois, les codes postaux, des jeux et plein d'autres bêtises...
jacques
Le Fri, 09 Nov 2007 12:24:31 +0100,
Tiens, ça marche avec la Livebox, la redirection de port depuis un client du LAN ? C'est souvent le genre de truc qui ne marche que depuis l'extérieur.
Je me suis mal exprimé : la redir de port 80 est en entrée du public -> privé 80
Faudrait recommencer en faisant tourner un sniffeur de paquets pour vérifier, après avoir attendu assez longtemps que l'adresse MAC du serveur ait expiré dans le cache ARP de la Livebox.
Remmplir mon DD avec des traces de tcpdump... ;)
Jacques
Le Fri, 09 Nov 2007 12:24:31 +0100,
Tiens, ça marche avec la Livebox, la redirection de port depuis un
client du LAN ? C'est souvent le genre de truc qui ne marche que
depuis l'extérieur.
Je me suis mal exprimé : la redir de port 80 est en entrée du public ->
privé 80
Faudrait recommencer en faisant tourner un sniffeur de paquets pour
vérifier, après avoir attendu assez longtemps que l'adresse MAC du
serveur ait expiré dans le cache ARP de la Livebox.
Tiens, ça marche avec la Livebox, la redirection de port depuis un client du LAN ? C'est souvent le genre de truc qui ne marche que depuis l'extérieur.
Je me suis mal exprimé : la redir de port 80 est en entrée du public -> privé 80
Faudrait recommencer en faisant tourner un sniffeur de paquets pour vérifier, après avoir attendu assez longtemps que l'adresse MAC du serveur ait expiré dans le cache ARP de la Livebox.
Remmplir mon DD avec des traces de tcpdump... ;)
Jacques
jacques
Le Fri, 09 Nov 2007 13:42:50 +0100,
Effectivement, si tu as écrit "d'un poste du LAN" alors que tu voulais dire "depuis un poste extérieur", alors tu t'es très mal exprimé, je confirme. ;-)
C'est pire que ça :)
Je me suis donc TRES^2 mal exprimé !
Depuis un poste du lan je fais une requete http vers le domaine DynDNS (lavignotte.bounceme.net) dont le record A (adresse publique) est la LiveBox laquelle redirige le port 80 vers un poste interne au lan avec une adresse privée. Ca doit confuser un peu laBox...
Jacques, Dazed and Confused
Le Fri, 09 Nov 2007 13:42:50 +0100,
Effectivement, si tu as écrit "d'un poste du LAN" alors que tu
voulais dire "depuis un poste extérieur", alors tu t'es très mal
exprimé, je confirme. ;-)
C'est pire que ça :)
Je me suis donc TRES^2 mal exprimé !
Depuis un poste du lan je fais une requete http vers le domaine DynDNS
(lavignotte.bounceme.net) dont le record A (adresse publique) est la
LiveBox laquelle redirige le port 80 vers un poste interne au lan avec
une adresse privée.
Ca doit confuser un peu laBox...
Effectivement, si tu as écrit "d'un poste du LAN" alors que tu voulais dire "depuis un poste extérieur", alors tu t'es très mal exprimé, je confirme. ;-)
C'est pire que ça :)
Je me suis donc TRES^2 mal exprimé !
Depuis un poste du lan je fais une requete http vers le domaine DynDNS (lavignotte.bounceme.net) dont le record A (adresse publique) est la LiveBox laquelle redirige le port 80 vers un poste interne au lan avec une adresse privée. Ca doit confuser un peu laBox...