Bonsoir, J'ai fait un petit tour du côté de mes logs et certain trafic bloqué m'a interpellé. Pour le contexte je suis chez free (freebox v4) avec une connection qui se termine sur un firewall GNU/Debian. J'ai pas de wifi. Mon réseau interne est 192.168.0.0/24, le traffic sortant est bien entendu naté.
May 23 07:57:00 sameplay kernel: INPUT: IN=eth0 OUT= MAC=00:80:ad:7e:c9:XX:00:07:cb:0b:XX:08:08:00 SRC=192.168.1.75 DST=82.227.39.X LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=80 DPT=59327 WINDOW=5792 RES=0x00 ACK SYN URGP=0 May 23 07:57:17 sameplay kernel: INPUT: IN=eth0 OUT= MAC=00:80:ad:7e:c9:XX:00:07:cb:0b:XX:08:08:00 SRC=192.168.1.75 DST=82.227.39.x LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=80 DPT=59294 WINDOW=5792 RES=0x00 ACK SYN URGP=0 May 23 08:01:22 sameplay kernel: INPUT: IN=eth0 OUT= MAC=00:80:ad:7e:c9:XX:00:07:cb:0b:XX:08:08:00 SRC=192.168.1.75 DST=82.227.39.x LEN=60 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=80 DPT=46292 WINDOW=5792 RES=0x00 ACK SYN URGP=0 Le trafic bloqué vient de l'interface externe du pare feu en provenance de la freebox, la mac adresse source indique bien la freebox. La deuxième information relativement importante est le SYN ACK/ source port 80, malheureusement je n'ai pas le trafic sortant qui correspondrai au SYN initial, j'ai vérifié si la freebox répondait à 192.168.1.75 (arping) et non. La question étant pourquoi le trafic est originaire d'une IP RFC-1918 et d'autant plus qu'il sagit d'un SYN/ACK. Merci Cordialement Fabien. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
