Auteur Sujet: Routeur en mode pont pour capturer le trafic Orange. (Lu 2137 fois)

ppn_sd · « **Réponse #12 le:** 08 août 2024 à 09:37:05 »

Citation de: basilix le 08 août 2024 à 07:21:41

pour analyser les flux de la Livebox.

Qu'espères-tu y découvrir ou "filtrer" ?

Citation de: rooot le 07 août 2024 à 23:45:16

je crois que personne n'a compris ce que tu essaies de faire.

Et surtout un sujet qui part en monologue. N'as-tu pas un bloc-note plutôt que ce forum qui devrait intervenir qu'après le ramassage de tes pensées ?

Steph · « **Réponse #13 le:** 08 août 2024 à 10:03:08 »

Citation de: basilix le 08 août 2024 à 07:21:41

J'exprime mal ma pensée. Non, je veux placer un équipement réseau entre le réseau Orange et la Livebox pour analyser les flux de la Livebox.
Or, seul mon routeur peut intégrer un module SFP permettant de réaliser la jonction avec le réseau optique Orange. Donc, je charge un
micrologiciel OpenWrt adapté pour que l'appareil se comporte comme un commutateur Ethernet (non administrable) disposant d'un module SFP.
Je suis persuadé que l'on peut convertir l'appareil ayant auparavant un rôle de routeur en un commutateur en le configurant en mode pont.
Mais il ne faut pas le rendre apparent sur l'Internet pour des raisons évidentes de sécurité. Cet appareil fait intermédiaire entre les équipements
Orange et la Livebox tout en filtrant le trafic corrélé à la Livebox afin d'être dupliqué vers ma station (mise en miroir). C'est un pare-feu transparent.
L'idée est aussi d'éviter que le trafic venant de l'extérieur parvienne au mauvais endroit. Comme par exemple être redirigé vers ma station.
Je précise que la conversion du routeur en commutateur n'est fait que pour durer temporairement, de façon ponctuelle.

En tant que novice, je comprends que tu veux l'équivalent d'un port mirroring de switch (couche 2)?
https://community.fs.com/fr/article/port-mirroring-explained-basis-configuration-and-fa-qs.html

basilix · « **Réponse #14 le:** 08 août 2024 à 10:04:32 »

@Steph : C'est exact.

@ppn_sd : Je me suis sûrement mal exprimé. Le fil s'est transformé en monologue car cela a suivi le fil de ma pensée.

rooot · « **Réponse #15 le:** 08 août 2024 à 11:35:00 »

ok j'ai compris. Tu essaies avec openwrt, de faire un switch administrable avec port mirroring.
peut etre que cette video peut t'aider :

basilix · « **Réponse #16 le:** 08 août 2024 à 11:48:19 »

@rooot :

Je n'ai plus vraiment besoin d'aide. Au départ, j'avais besoin d'un coup de pouce pour clarifier le cheminement à prendre.

Par rapport à la vidéo, il y a plusieurs choses qui ne correspondent pas. Comme je souhaite analyser le trafic de la Livebox il ne faut pas faire de filtrage VLAN.
Je ne veux pas que le commutateur soit joignable, donc aucune adresse IP. La fonctionnalité de port-mirroring (mise en mirroir) peut être réalisé il me semble
grâce à nftables. Cela ne me posera pas de problème insurmontable car je sais comment produire une image OpenWrt personnalisée et il me semble que je
dispose des notions pour le faire.

basilix · « **Réponse #17 le:** 08 août 2024 à 17:39:12 »

Le routeur en mode pont (a.k.a. commutateur) est fonctionnel en définissant une adresse statique à l'interface du pont. Les adresses MAC peuvent être différentes ou identiques, peu importe.

basilix · « **Réponse #18 le:** 08 août 2024 à 22:14:50 »

En fait, nul besoin de définir une adresse statique pour l'interface du pont. J'avais lu partiellement le texte ci-dessous en passant des mots et eu une signification à l'inverse de ce que cela voulait dire.

Citer

If an interface section has no protocol defined (not even none ), the other settings are completely ignored. The result is that, if the interface section is mentioning a physical network interface (i.e. eth0),
this will be down even if a cable is connected (with proto 'none' the interface is up).

Source : Network configuration (Wiki OpenWrt)

Code: [Sélectionner]

config interface 'switch'
        option device 'switch'
        option proto 'none'

Comme je l'ai dit auparavant, ne pas définir l'interface ne fonctionnera pas. Néanmoins spécifier qu'une interface n'a pas de protocole fonctionne !!

basilix · « **Réponse #19 le:** 08 août 2024 à 22:46:57 »

Il ne reste plus qu'à savoir s'il faudrait définir une nouvelle interface : wan.

Remarque : On retrouve malgré tout une adresse locale au lien.

Code: [Sélectionner]

root@OpenWrt:~# ip addr show
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1504 qdisc mq state UP qlen 1000
    link/ether 5a:93:27:5b:bc:ee brd ff:ff:ff:ff:ff:ff
    inet6 fe80::5c93:27ff:fe5b:bcee/64 scope link 
       valid_lft forever preferred_lft forever
3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq master switch state DOWN qlen 1000
    link/ether aa:29:34:93:94:2c brd ff:ff:ff:ff:ff:ff
4: wan@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master switch state UP qlen 1000
    link/ether 5a:93:27:5b:bc:ee brd ff:ff:ff:ff:ff:ff
5: lan1@eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue master switch state LOWERLAYERDOWN qlen 1000
    link/ether 5a:93:27:5b:bc:ee brd ff:ff:ff:ff:ff:ff
6: lan2@eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue master switch state LOWERLAYERDOWN qlen 1000
    link/ether 5a:93:27:5b:bc:ee brd ff:ff:ff:ff:ff:ff
7: lan3@eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue master switch state LOWERLAYERDOWN qlen 1000
    link/ether 5a:93:27:5b:bc:ee brd ff:ff:ff:ff:ff:ff
8: lan4@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue master switch state UP qlen 1000
    link/ether 5a:93:27:5b:bc:ee brd ff:ff:ff:ff:ff:ff
9: sfp2@eth0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue master switch state LOWERLAYERDOWN qlen 1000
    link/ether 5a:93:27:5b:bc:ee brd ff:ff:ff:ff:ff:ff
10: wlan0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether 34:4f:43:62:70:00 brd ff:ff:ff:ff:ff:ff
11: wlan1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether 34:4f:43:62:70:00 brd ff:ff:ff:ff:ff:ff
12: switch: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether 5a:93:27:5b:bc:ee brd ff:ff:ff:ff:ff:ff
    inet6 fe80::5c93:27ff:fe5b:bcee/64 scope link 
       valid_lft forever preferred_lft forever

Remarque : Il semble que l'on puisse désactiver IPv6 en ajoutant les lignes suivantes dans le fichier /etc/sysctl.conf.

Code: [Sélectionner]

# Defaults are configured in /etc/sysctl.d/* and can be customized in this file
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

Au démarrage, j'observe que l'interface eth0 génère une IPv6 locale au lien. L'utilisation de la commande sysctl -p semble déclencher instantanément « l'effacement de l'adresse ».
Il m'a aussi semblé qu'elle disparaissait automatiquement passé un certain délai (à vérifier). Lorsque je redémarre l'appareil, cela reconfigure une IPv6 locale au lien (le cycle se répète).

Code: (/etc/sysctl.conf) [Sélectionner]

# Defaults are configured in /etc/sysctl.d/* and can be customized in this file
net.ipv6.conf.switch.disable_ipv6 = 1

En désactivant explicitement l'interface du pont (que j'ai dénommée switch), l'interface eth0 continue de génèrer une adresse locale au lien. Toutefois, l'appareil ne répond plus au requête ICMPv6 echo.
Je ne capte pas tout ; mais cela me convient parfaitement pour le moment : l'interface du pont n'a pas d'adresse IP et l'appareil semble être transparent sur le réseau.

ppn_sd · « **Réponse #20 le:** 09 août 2024 à 09:15:08 »

L'adresse locale au lien n'aura aucune incidence sur ce que tu veux faire et pourra au contraire t'être utile. Une connexion SSH sur une LLA est possible.

basilix · « **Réponse #21 le:** 09 août 2024 à 09:44:51 »

@ppn_sd :

C'est le concept de pont filtrant ou pare-feu transparent (bridge firewall).

Citation de: wiki.nftables.org

The following example shows how to deploy a stateful bridge firewall, this assumes the bridge interface has no IP address.

Source : Bridge filtering (nftables.org)

Citer

Un pont filtrant est un équipement réseau. Le pont filtrant est un pont, donc il fonctionne en couche 2 du modèle OSI (liaison de données).
Il a la possibilité de filtrer les trames en se basant sur des caractéristiques de la trame tel que MAC Address source ou destination,
type de protocole de niveau 3 transporté, longueur de la trame. Il peut être invisible au niveau 3 car il peut ne pas être administrable
via IP.

Source : Pont filtrant (article Wikipédia)

ppn_sd · « **Réponse #22 le:** 09 août 2024 à 10:24:39 »

Citation de: basilix le 09 août 2024 à 09:44:51

Il peut être invisible au niveau 3 car il peut ne pas être administrable
via IP.

Ce qui est assez différent de : il doit être invisible au niveau 3 car il ne doit pas être administrable par LL.

basilix · « **Réponse #23 le:** 09 août 2024 à 11:55:22 »

@ppn_sd :

Mon pont n'aura pas d'adresse IP. Je peux l'administrer par son interface UART via un adaptateur USB vers TTL.

Note : Actuellement, je n'ai pas intégré le pare-feu OpenWrt firewall4 dans l'image du micrologiciel par simplicité.

Code: (/etc/inid.d/firewall) [Sélectionner]

#!/bin/sh /etc/rc.common

START=19

start() {
        nft -f /etc/nftables.conf
}

stop() {
        nft flush ruleset
}

Code: (/etc/nftables.conf) [Sélectionner]

flush ruleset

table bridge filter {
    chain forward {
        type filter hook forward priority filter; policy drop;
        ether type ip tcp dport 22 drop
        ether type arp accept
    }
}

Il faut que je teste. L'objectif sera à terme de pouvoir dupliquer le trafic de la Livebox et bloquer le trafic relatif à ma station ne provenant pas du port lié à la Livebox et allant au port SFP.