Reboot routeur à la mano possible uniquement quand tu es chez toi. Quant au script qui "trouve tout seul la MAC", il est encore plus inutile en cas de MitM
Je comprends mieux. Tu ne gères donc pas la latence ("bufferbloat") côté routeur. Perso une bonne gestion de la latence me paraît bien plus importante que d'assurer un débit collé au plafond. Chacun ses prios
Ah, bah on peut argumenter et avoir tous deux raison
Je ne rencontre pas de problème de latence ; j’ai choisi l’algorithme de congestion qui me va le mieux, et j’ai passé du temps à optimiser les règles, scripts du routeur, éléments sysctl, etc.
Ça marche pour moi et mon utilisation, probablement pas pour d’autres.
La règle ebtables, je l’avais mise en place car elle me protégeait (très bien) des fuites sur la boucle.
C’est probablement devenu inutile, mais bon, une protection de plus qui n’impacte pas les performances… C’est comme mes règles de port knocking pour un accès depuis l’extérieur sur certains services… Sont-elles vraiment utiles ? Probablement pas, car mes serveurs sont protégés en SSL, mais bon, j’ai monté mon truc à la main.
Ainsi j’apprends des choses ; c’est comme ça que j’ai découvert les fuites d’ailleurs…
Certes, le script capte tout seul la MAC de La passerelle ainsi :
GW_IP="$(ip route show 0.0.0.0/0 dev brwan | cut -d\ -f3)"
GW_MAC="$(/usr/bin/arping -f -i brwan $GW_IP | /usr/bin/awk '$1=="Unicast"{print substr($5,2,length($5)-2);exit}')"
Le but à l’époque était d’éliminer le bruit venant des fuites.
Donc oui, je devrais peut-être
hardcoder la MAC de la passerelle pour une meilleure protection d’un MitM, ou tout simplement me débarrasser de cette règle (en cas de MitM avec spoof de la MAC de la passerelle), ou la laisser pour me protéger d’éventuelles fuites.
De toute façon, je supervise mon routeur, mon ONT, les temps de latence entre mon routeur et la passerelle, puis les routeurs de collecte… Donc une activité MitM, à moins qu’elle soit très bien faite, changerait ces latences.
J’ai aussi un IDS avec Suricata et ELK.
J’isole les appareils IoT d’internet pour qu’ils n’appellent pas à la maison, etc.
Mais tout cela, c’est un hobby aussi, car j’en n’ai pas vraiment de données sensibles, et je ne suis pas une cible intéressante. Je m’entraîne et j’apprends