Auteur Sujet: Neutralité du net et blocage port 53 chez SFR  (Lu 6178 fois)

0 Membres et 1 Invité sur ce sujet

maximushugus

  • Client SFR fibre FttH
  • *
  • Messages: 164
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #12 le: 03 janvier 2021 à 18:16:27 »
J'ai fait le test de me connecter depuis Wireguard sur mon PC (pour éliminer le problème de l'application mobile Wireguard), lui même connecté sur le partage de ma connexion mobile SFR de mon téléphone portable.
J'avais en même temps une capture Wireshark depuis mon LAN sur le port WAN de mon routeur.
Résultat : aucun packet n'arrive sur mon routeur.

Donc le problème ne vient pas de l'application Wireguard mobile
Je ne pense pas que le problème vienne du protocole Wireguard / du VPN en lui même car sinon la connexion depuis chez mes amis n'aurait pas fonctionnée
Je ne pense pas que le problème vienne de ma configuration réseau sinon la connexion depuis chez mes amis n'aurait pas fonctionnée non plus

Reste donc l'hypothèse que SFR bloque l'émission de packet UDP 53 sur autre chose que du protocole DNS ou bien qu'ils bloquent spécifiquement l'émission de packet de protocole Wireguard sur le port 53 UDP.
Je vais tester l'émission de packet depuis mon téléphone vers mon serveur en utilisant un autre protocole que DNS ou Wireguard (émission de packet OpenVPN sur UDP 53)

vivien

  • Administrateur
  • *
  • Messages: 38 758
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #13 le: 03 janvier 2021 à 18:26:40 »
C'est étonnant, car les paquets UDP Wireguard sont de petite taille (les premiers paquets font moins de 200 octets quand je vois ta capture)

Sur le port 53 en TCP, SFR accepte bien un trafic autre que DNS, vu que https fonctionne.

Je vais tester iperf3 en UDP.

maximushugus

  • Client SFR fibre FttH
  • *
  • Messages: 164
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #14 le: 03 janvier 2021 à 18:28:20 »
Encore quelques tests :

Depuis mon PC en partage de connexion de mon portable sur SFR (APN sl2sfr) :
- Si j'essaie de me connecter sur mon serveur avec OpenVPN sur UDP port 53 : je ne reçois aucun packet sur la capture sur l'interface WAN port UDP 53 de mon routeur fixe
- Si j'essaie de me connecter sur mon serveur avec OpenVPN sur UDP port 55 : cette fois ci je reçois des packets sur la capture sur l'interface WAN port UDP 55 de mon routeur fixe (qui sont bloqués par mon firewall car le port n'est pas ouvert, donc la connexion OpenVPN ne s’établit pas)
- Si j'essaie de me connecter sur mon serveur avec OpenVPN sur TCP port 443 (celui que j'utilise de base): je ne reçoit les packets et la connexion OpenVPN s'établit

J'en conclu que le protocole OpenVPN est également bloqué en envoi sur le port UDP 53 depuis une ligne mobile SFR.
A mon avis seul le protocole DNS est autorisé en émission sur le port UDP 53 depuis une ligne mobile SFR

buddy

  • Expert
  • Client Bbox fibre
  • *
  • Messages: 13 053
  • Alpes Maritimes (06)
Neutralité du net et blocage port 53 chez SFR
« Réponse #15 le: 03 janvier 2021 à 18:35:50 »
Je viens également de tester la connexion depuis le PC avec un smartphone en partage de connexion (IPv4 + IPv6) impossible de me connecter chez moi sur le VPN via le port 53 en UDP.

Abonnement REd de SFR -> FTTH Bouygues (IPv4 only)

Freedor

  • Client Free adsl
  • *
  • Messages: 1 455
Neutralité du net et blocage port 53 chez SFR
« Réponse #16 le: 03 janvier 2021 à 19:01:24 »
L'appli RTR-NetTest permet de tester les ports.

maximushugus

  • Client SFR fibre FttH
  • *
  • Messages: 164
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #17 le: 03 janvier 2021 à 20:52:09 »
L'appli RTR-NetTest permet de tester les ports.
De ce que j'ai vu elle ne permet pas de tester un port en particulier, notamment pas le port 53, et encore moins de spécifier en UDP et en émission

vivien

  • Administrateur
  • *
  • Messages: 38 758
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #18 le: 03 janvier 2021 à 21:31:35 »
RTR-NetTest ne permet pas de choisir les ports testés, mais le port 53 fait parti des ports tests en UDP et c'est un échec avec SFR : (APN sl2sfr)


vivien

  • Administrateur
  • *
  • Messages: 38 758
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #19 le: 03 janvier 2021 à 21:39:46 »
J'arrive enfin à reproduire votre problème.

J'ai mis en place un serveur iPerf3 qui écoute sur le port 9200. Il n'écoute pas directement sur le port 53, car il lui faudrait les privilèges root.
J'ai ensuite mis une redirection iptables du port 53 au port 54 qui renvoi en IPv4 et en IPv6, en UDP comme en TCP les connexion sur le port 9200.

Le port 53 et 54 fonctionnent tous les deux parfaitement avec une connexion RED THD (câble).

Quand je passe en partage de connexion derrière mon Samsung Galaxy S8, le port 54 continue de fonctionner, mais pas le port 53.

Il y a donc un applicatif qui vérifie que les requêtes en UDP sur le port 53 sont bien des bonnes requêtes DNS correctement formées.
Je n'ai pas vérifié si un site que les opérateurs ont obligation de bloquer derrière leur DNS se retrouve également bloqué sur un serveur DNS tiers.

A noter que DNS fonctionne également en TCP (quand les réponses sont trop grosses pour tenir dans un paquet UDP) mais l'inspection du trafic ne se fait que en UDP, pas en TCP, vu qu'une connexion https sur le port 53 fonctionne.

C'est donc reproductible : Merci.





vivien

  • Administrateur
  • *
  • Messages: 38 758
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #20 le: 03 janvier 2021 à 21:47:24 »
Cela n'a pas d'impact sur une requête DNS sur un nom de domaine que SFR a l’obligation légale de filtré :
- DNS tiers Google : on récupère des IPv4 pour le site illégal.
- DNS SFR : pas de réponse, conformément à la décision judiciaire.

Donc le service d'inspection du port 53 en UDP n'est pas là pour bloquer des sites illégaux.
Quel pourrait être son usage ?



eahlys

  • Expert Bouygues Telecom
  • Client Bbox fibre
  • *
  • Messages: 677
Neutralité du net et blocage port 53 chez SFR
« Réponse #21 le: 03 janvier 2021 à 21:48:29 »
Un vieux truc crado jamais retiré ?

maximushugus

  • Client SFR fibre FttH
  • *
  • Messages: 164
  • 69
Neutralité du net et blocage port 53 chez SFR
« Réponse #22 le: 03 janvier 2021 à 21:50:43 »
Ca sent effectivement un vieux truc oublié. Parce que je ne voit pas trop l'intérêt de bloquer l'usage de ce port. A moins qu'un balbutiement de verrouillage du serveur DNS ait commencé à être mis en place.

De même, maintenant ça va être la chasse pour savoir si d'autres ports sont bloqués par SFR. Je ne trouve pas ça très rassurant.

Ça me.conforte de plus en plus sur le fait que les FAI font ce qu'ils veulent des données sur leur réseau. De même ils font ce qu'ils veulent de l'accès à internet et aux différents ports.
Dans le même genre (chez SFR en tout cas), si on utilise la box fournie ils sont capables de voir si un appareil est connecté sur la box et de quel appareil il s'agit (vécu en direct au téléphone avec le "support technique de SFR", pour lequel j'avais rebranché la Neufbox, et qui m'ont demandé de déconnecter tel appareil du wifi pour faire un test. Je suis bien content de bypasser la Neufbox avec mon routeur perso). Ils voient également les paramètres de la box.
Enfin, j'ai retrouvé dans les Neufbox mais aussi dans l'ONT de chez SFR le programme tcpdump, qui est utilisable à souhait... J'aime pas être parano mais ça fait un peu peur.
Mode HS off

vivien

  • Administrateur
  • *
  • Messages: 38 758
    • Twitter LaFibre.info
Neutralité du net et blocage port 53 chez SFR
« Réponse #23 le: 03 janvier 2021 à 22:06:00 »
Les règles sont indiquées dans le rapport Arcep 2020 sur l'état de l'Internet : L'opérateur ne dois pas regarder (et encore moins modifier) la partie d'un paquet IP qui est considéré comme du "contenu particulier"

Le rapport explique que le DPI (Deep packet inspection) est interdit, même pour catégoriser le trafic :

Extrait de la page 66 : Le règlement Internet ouvert permet aux FAI d’accéder qu’aux informations contenues dans l’en-tête du parquet IP et dans l’en-tête du protocole de la couche transport (par exemple l’en-tête TCP ou l’en-tête UDP) dont les noms de domaine et URL sont exclus. Par ailleurs, dans une lettre rendue publique, le Comité européen de la protection des données (EDPB) qui a été saisi pour avis, précise que le nom de domaine et l’URL peuvent être qualifiés de données à caractères personnels et à ce titre sont protégées par les dispositions de la directive vie privée et communications électroniques et du règlement général sur la protection des données. Ainsi, les FAI qui utiliseraient le nom de domaine ou les URL à des fins de catégorisation de trafic ou de facturation s’exposeraient non seulement à une violation potentielle du règlement internet ouvert, mais aussi à une possible violation de la protection des données à caractère personnel de leurs clients.