Le Wed, 09 Jul 2003 17:10:56 +0200, Pascal a écrit:
Ok, avec ethereal, pas une trame ! J'ai activer iptables sur tout ce qui transite sur eth0, sans filtrer le réseau local. et boom, ça marche. Le firewall bloque le DHCP, car la carte n'a pas d'adresse correspondant au domaine. Au niveau sécurité, est-ce bon ?
Merci
Le protocole de découverte DHCP n'utilise pas l'adresse de broadcast dur réseau (x.y.z.255) sur le port UDP 67 ? Le firewall bloquerait cette adresse IP particulière que ça ne m'étonnerait pas. MAis bon, mettre un serveur DHCP sur un firewall, mauvaise idée.
Oui je sais, mais je n'ai toujours pas mon routeur ADSL. :-<
Stéphane ACOUNIS <stephane.acounis@sunwizard.net> wrote in
news:pan.2003.07.09.17.20.28.25599.1706@sunwizard.net:
Le Wed, 09 Jul 2003 17:10:56 +0200, Pascal a écrit:
Ok, avec ethereal, pas une trame !
J'ai activer iptables sur tout ce qui transite sur eth0, sans filtrer le
réseau local.
et boom, ça marche.
Le firewall bloque le DHCP, car la carte n'a pas d'adresse correspondant
au domaine.
Au niveau sécurité, est-ce bon ?
Merci
Le protocole de découverte DHCP n'utilise pas l'adresse de broadcast dur
réseau (x.y.z.255) sur le port UDP 67 ?
Le firewall bloquerait cette adresse IP particulière que ça ne
m'étonnerait pas. MAis bon, mettre un serveur DHCP sur un firewall,
mauvaise idée.
Oui je sais, mais je n'ai toujours pas mon routeur ADSL. :-<
Le Wed, 09 Jul 2003 17:10:56 +0200, Pascal a écrit:
Ok, avec ethereal, pas une trame ! J'ai activer iptables sur tout ce qui transite sur eth0, sans filtrer le réseau local. et boom, ça marche. Le firewall bloque le DHCP, car la carte n'a pas d'adresse correspondant au domaine. Au niveau sécurité, est-ce bon ?
Merci
Le protocole de découverte DHCP n'utilise pas l'adresse de broadcast dur réseau (x.y.z.255) sur le port UDP 67 ? Le firewall bloquerait cette adresse IP particulière que ça ne m'étonnerait pas. MAis bon, mettre un serveur DHCP sur un firewall, mauvaise idée.
Oui je sais, mais je n'ai toujours pas mon routeur ADSL. :-<
Pascal
DHCP n'utilise pas de port, puisque c'est une notion IP. Or, lors de la négociation DHCP, la machine n'a pas encore "notion" de la couche IP. En fait, DHCP envoie des requêtes de broadcast au niveau MAC, ce qui est totalement invisible au niveau IP, c.a.d. qu'il envoie une requête MAC (niveau ethernet) avec comme addresse MAC de destination FF.FF.FF.FF.FF.FF Le premier serveur qui répond attribue l'addresse IP. Attention, donc, aux réseaux sur lesquels il y aurait plusieurs serveurs DHCP ! Les résultats sont assez alléatoires. Ceci dit, tcpdump est capable de dumper la totalité des packets passant sur une interface ethernet sans les analiser, ce qui permet de retrouver ces trames MAC sans IP.
Alors pourquoi ce blocage avec le firewall ? Voici les commandes envoyées a iptables :
iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -j ACCEPT
Là, il marche.
DHCP n'utilise pas de port, puisque c'est une notion IP. Or, lors de
la négociation DHCP, la machine n'a pas encore "notion" de la couche
IP. En fait, DHCP envoie des requêtes de broadcast au niveau MAC, ce
qui est totalement invisible au niveau IP, c.a.d. qu'il envoie une
requête MAC (niveau ethernet) avec comme addresse MAC de destination
FF.FF.FF.FF.FF.FF Le premier serveur qui répond attribue l'addresse
IP. Attention, donc, aux réseaux sur lesquels il y aurait plusieurs
serveurs DHCP ! Les résultats sont assez alléatoires.
Ceci dit, tcpdump est capable de dumper la totalité des packets
passant sur une interface ethernet sans les analiser, ce qui permet de
retrouver ces trames MAC sans IP.
Alors pourquoi ce blocage avec le firewall ?
Voici les commandes envoyées a iptables :
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
DHCP n'utilise pas de port, puisque c'est une notion IP. Or, lors de la négociation DHCP, la machine n'a pas encore "notion" de la couche IP. En fait, DHCP envoie des requêtes de broadcast au niveau MAC, ce qui est totalement invisible au niveau IP, c.a.d. qu'il envoie une requête MAC (niveau ethernet) avec comme addresse MAC de destination FF.FF.FF.FF.FF.FF Le premier serveur qui répond attribue l'addresse IP. Attention, donc, aux réseaux sur lesquels il y aurait plusieurs serveurs DHCP ! Les résultats sont assez alléatoires. Ceci dit, tcpdump est capable de dumper la totalité des packets passant sur une interface ethernet sans les analiser, ce qui permet de retrouver ces trames MAC sans IP.
Alors pourquoi ce blocage avec le firewall ? Voici les commandes envoyées a iptables :
iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -j ACCEPT
