Auteur Sujet: Trafic ICMP fréquent sur pfsense avec box SFR FIBRE (Lu 1756 fois)

Azure · « **le:** 20 octobre 2024 à 12:08:17 »

Bonjour à tous,

Je viens de passer chez SFR avec la box fibre GR140CG. Mon routeur pfsense est branché sur la box, et en consultant les logs, j'ai remarqué un trafic ICMP fréquent (chaque minute) en provenance des adresses 1.1.168.192 et 42.132.2.42.

Après avoir vérifié la configuration de la box, je n'ai trouvé aucune option permettant de bloquer ce type de trafic.
Il n'y a qu'une option pour bloquer l'ICMP en IPv6.

Sauf erreur, je pensais que les box jouaient le rôle de tampon entre Internet et le réseau local, empêchant ce genre de trafic d'atteindre le réseau local ?

Est-ce que quelqu'un aurait des informations sur ce comportement ?

Merci d'avance pour vos aide !

jeremyp3 · « **Réponse #1 le:** 20 octobre 2024 à 14:35:52 »

bonjour,

une requête ICMP à une source et une destination, quelle est la destination ?

de plus, comment à été configuré votre box en ce qui concerne votre pfsense ?
Dans le cas ou une dmz a été configuré, la box fait son travail de transférer tout vers l'ip du pfsense, du coup vous vous recevez le *bruit* d'internet.

après pour les 2 ip mentionné, j'ai un petit doute sur la première, qui dans l'autre sens donne 192.168.1.1

est-ce qu'on est sûre que c'est pas le pfsense qui fait un test de ping pour vérifier que la gateway est toujours là ?

P.S: si des réponses sont donné dans la capture, je ne peux pas en prendre connaissance, désolé.

Azure · « **Réponse #2 le:** 20 octobre 2024 à 15:02:18 »

Bonjour jeremyp3, merci pour ta réponse.

Concernant ta première question sur la requête ICMP et sa destination :
- La destination des deux adresses IP est 224.0.0.1.

Pour la configuration de la box par rapport à mon pfSense :
- Aucune configuration particulière n'a été appliquée sur la box.
- Elle est simplement connectée au port WAN du pfSense.

En ce qui concerne la DMZ :
- Les deux types de DMZ (IPv4 et IPv6) proposés par la box sont bien désactivés.

Pour l'adresse IP inversée (1.1.168.192), c'est effectivement étrange, mais cette adresse existe bien.
Cela m'a aussi interpellé, mais après vérification, elle est correcte.

Enfin, concernant la possibilité que ce soit le pfSense qui fasse un test de ping pour vérifier la gateway :
- J'ai branché uniquement mon PC directement sur la box, sans autre équipement connecté, et avec Wireshark activé.
- Le même comportement se produit, ce qui semble indiquer que c'est la box qui laisse passer ce trafic.

zoc · « **Réponse #3 le:** 20 octobre 2024 à 17:45:19 »

L’adresse destination est une adresse multicast, donc elle ne peut pas provenir d’Internet. Pour moi c’est la box qui génère ces paquets. Reste à savoir pourquoi avec ces adresses source.

Azure · « **Réponse #4 le:** 20 octobre 2024 à 19:10:20 »

Merci pour ta réponse, Zoc.

Si c'est bien la box qui génère ces paquets, je m'interroge sur l'utilisation de ces adresses source.
Peut-il s'agir d'une configuration particulière ou d'un bug ?

Cela dit, si c'était le cas, d'autres personnes auraient probablement signalé le même comportement.
Pourtant, je n'ai rien trouvé en ligne à ce sujet.

J'ai même effectué une réinitialisation d'usine de la box et connecté uniquement un PC avec Wireshark, mais le comportement reste identique.
Je n'y comprends vraiment plus rien. 😢

vieuxpc · « **Réponse #5 le:** 24 novembre 2024 à 21:04:14 »

Bonjour,

Je constate la même chose sur ma box SFR 7 abo. Fibre RED-by-SFR.
Je me demande pourquoi ces message ICMP type 9 analysés comme 'Mobile IP Advertisement (Normal router advertisement)' par Wireshark et surtout avec une adresse IPv4 de routeur 42.2.132.43 faisant partie de l' AS4760 de Hong Kong Telecommunications.

Symbol · « **Réponse #6 le:** 25 novembre 2024 à 01:06:11 »

La destination est un groupe multicast link-local (broadcasté sur LAN) 224.0.0.1, qui est non-routable.
Bref ce qui est certain en premier lieu c'est que ce paquet ne vient pas de l'extérieur, ainsi que le dit zoc.
Les sources sont fantaisistes...

artemus24 · « **Réponse #7 le:** 25 novembre 2024 à 01:40:20 »

Citation de: Symbol

Les sources sont fantaisistes...

En les lisant de droite à gauche, les sources ont du sens : "192.168.1.1" & "42.2.132.42".

Hugues · « **Réponse #8 le:** 25 novembre 2024 à 11:47:52 »

Sauf qu'une IP ne se lit pas à l'envers.

darkmoon · « **Réponse #9 le:** 25 novembre 2024 à 12:50:45 »

Citation de: Hugues le 25 novembre 2024 à 11:47:52

Sauf qu'une IP ne se lit pas à l'envers.

🤣

Azure · « **Réponse #10 le:** 08 décembre 2024 à 16:58:34 »

Bonjour tout le monde,

Bon, je ne suis pas sûr que ça fasse avancer le schmilblick, mais je suis tombé sur un truc qui pourrait peut-être avoir un rapport… Ou pas !
Il s'agit des "requêtes PTR", qui ont un lien avec l'inversion de l'adresse IP.
Le truc, c'est qu'à ce jour, je n'arrive toujours pas à comprendre quel est le rapport entre ma box, ces requêtes et mon problème… 😅

Mais promis, je continue de gratter dès que j'ai un peu de temps…

Source : https://www.cloudflare.com/fr-fr/learning/dns/dns-records/dns-ptr-record/

Citer

Comment les enregistrements DNS PTR sont-ils stockés ?

En IPv4 :

Alors que les enregistrements A du DNS sont stockés sous le nom de domaine donné,
les enregistrements PTR du DNS sont stockés sous l'adresse IP, inversée, et avec « .in-addr.arpa » ajouté.

Par exemple, l'enregistrement PTR pour l'adresse IP 192.0.2.255 serait stocké sous « 255.2.0.192.in-addr.arpa ».

Hugues · « **Réponse #11 le:** 08 décembre 2024 à 17:04:05 »

PTR c'est du DNS, pas de l'ICMP et encore moins de l'IP