Tu parles de son système ? Mais il est root dessus, il fait ce qu’il veut. C’est quoi une gateway par défaut: c’est juste une IP vers laquelle la couche IP sait qu’elle doit envoyer le paquet, à défaut d’avoir une route plus spécifique. Elle cherche donc son adresse MAC pour la mettre en adresse destination du paquet ethernet dans lequel elle encapsule le paquet IP. Tu imagines donc bien que ce n’est pas très difficile à modifier.
Sous Linux, c’est même encore plus trivial et ça peut être causé par un conf mal faite: ifconfig eth0 157.159.1.X netmask 255.255.255.0 ifconfig eth1 192.168.1.101 netmask 255.255.255.0 route add default gw 157.159.1.1 ping -s 192.168.1.101 157.159.1.1 Et ton 6500 va recevoir des paquets venant de 192.168.1.101 vers 157.159.1.1 au niveau IP. Au niveau Eth, adresse MAC de Eth0 comme source et adresse MAC de 157.159.1.1 comme destination. Donc en gros, si tu as un geek avec une 2ème IP sur son Linux (sur une 2ème carte réseau ou la même), qui lui sert à autre chose, et qu’il a une application qui devrait utiliser cette 2ème IP mal configurée, on peut tout imaginer. Sans parler de ceux qui expérimentent dans le cadre des cours. C’est pour ça que des PC étudiants doivent être considérés comme une zone à risques, et donc être filtrés drastiquement :) Maintenant, tu y es presque. Tu a pas l’adresse MAC source des paquets dans Netflow ? Je me souviens plus. Il doit y avoir un moyen de les collecter en tout cas. Une fois que tu as l’adresse MAC, tu regardes si la même adresse MAC est connue pour une autre IP (publique cette fois) et tu as ton méchant. Le 30 juil. 2015 à 09:52, jehan procaccia INT <jehan.procac...@int-evry.fr> a écrit : > Le 30/07/2015 08:41, David Ponzone a écrit : >> Encore une fois, je ne sais pas si c’est ta phrase qui est mal tournée, mais >> ce n’est pas parce que tu n’as pas de route vers un subnet que tu ne vas pas >> recevoir de paquets venant de ce subnet. >> Les routes définissent par où tu vas envoyer tes paquets vers cette IP (et >> donc tes réponses). > OK, je me met à la place du "pirate", > comment depuis mon client linux par exemple, sur mon réseau public > 157.159.1.0/24 qui a une gateway en 157.159.1.1 sur une interface vlan > correspondant a ce reseau sur le 6500, je peux configurer sur ce vlan + > subnet ip public (donc a une gateway qui repond en 157.159.1.1 ) une adresse > 192.168.1.101 !?, le systeme va me jeter !? le subnet IP ne correspond pas a > ma gateway , bref comment le "pirate" arrive a joindre ma gateway publique du > 6500 avec un subnet IP qui ne match pas ce que dessert le vlan . > >> >> Pour empêcher des paquets qui ont 192.168.1.101 comme source, il faut mettre >> un: >> >> ip access-list standard anti-mechants >> deny 10.0.0.0 0.255.255.255 >> deny 192.168.0.0 0.0.255.255 >> deny 172.16.0.0 0.15.255.255 >> permit any > Oui, je sais bien que c'est la bonne solution > Mon objectif immédiat n'est pas de droper ce trafic, mais de l'identifier, je > veux trouver la source, si je le drop je n'aurais plus de traces . >> >> (http://www.cisco.com/c/en/us/support/docs/ip/access-lists/43920-iacl.html) >> >> et tu appliques ceci sur TOUTES tes interfaces INGRESS, donc toutes les >> interfaces sur lesquelles sont connectés des équipements que tu ne maitrises >> pas: >> -internet >> -clients >> -machines d’étudiants fous sous Windows ou geeks sous Linux >> >> D’ailleurs, sur les interfaces INGRESS internes (clients/utilisateurs) tu >> peux même être encore plus restrictif en autorisant seulement tes propres IP. >> Sur les INGRESS externes, tu peux en plus interdire tes propres IP. > Encore plus drastique , mais effectivement plus sure , je vais y réfléchir . >> >> Désolé si je répète un truc déjà fait, mais j’ai eu un doute en te lisant. > pas de problèmes, moi même j'y perd mon latin . > > Merci . >> >> Le 29 juil. 2015 à 23:43, jehan procaccia IMT <jehan.procac...@tem-tsp.eu> a >> écrit : >>> comment des paquets (forgés probablement) avec une src en 192.168.1.101 >>> peuvent t-il aboutir sur mon coeur de reseau alors que je n'ai pas de >>> gateway ni de route pour ce reseau 192.168.1.0/24 !? >>> cela m’intéresse . > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
