La Fibre
Télécom => Réseau => 
TCP/IP / Fonctionnement des réseaux => Discussion démarrée par: Azure le 20 octobre 2024 à 12:08:17
-
Bonjour à tous,
Je viens de passer chez SFR avec la box fibre GR140CG. Mon routeur pfsense est branché sur la box, et en consultant les logs, j'ai remarqué un trafic ICMP fréquent (chaque minute) en provenance des adresses 1.1.168.192 et 42.132.2.42.
Après avoir vérifié la configuration de la box, je n'ai trouvé aucune option permettant de bloquer ce type de trafic.
Il n'y a qu'une option pour bloquer l'ICMP en IPv6.
Sauf erreur, je pensais que les box jouaient le rôle de tampon entre Internet et le réseau local, empêchant ce genre de trafic d'atteindre le réseau local ?
Est-ce que quelqu'un aurait des informations sur ce comportement ?
Merci d'avance pour vos aide !
-
bonjour,
une requête ICMP à une source et une destination, quelle est la destination ?
de plus, comment à été configuré votre box en ce qui concerne votre pfsense ?
Dans le cas ou une dmz a été configuré, la box fait son travail de transférer tout vers l'ip du pfsense, du coup vous vous recevez le *bruit* d'internet.
après pour les 2 ip mentionné, j'ai un petit doute sur la première, qui dans l'autre sens donne 192.168.1.1
est-ce qu'on est sûre que c'est pas le pfsense qui fait un test de ping pour vérifier que la gateway est toujours là ?
P.S: si des réponses sont donné dans la capture, je ne peux pas en prendre connaissance, désolé.
-
Bonjour jeremyp3, merci pour ta réponse.
Concernant ta première question sur la requête ICMP et sa destination :
- La destination des deux adresses IP est 224.0.0.1.
Pour la configuration de la box par rapport à mon pfSense :
- Aucune configuration particulière n'a été appliquée sur la box.
- Elle est simplement connectée au port WAN du pfSense.
En ce qui concerne la DMZ :
- Les deux types de DMZ (IPv4 et IPv6) proposés par la box sont bien désactivés.
Pour l'adresse IP inversée (1.1.168.192), c'est effectivement étrange, mais cette adresse existe bien.
Cela m'a aussi interpellé, mais après vérification, elle est correcte.
Enfin, concernant la possibilité que ce soit le pfSense qui fasse un test de ping pour vérifier la gateway :
- J'ai branché uniquement mon PC directement sur la box, sans autre équipement connecté, et avec Wireshark activé.
- Le même comportement se produit, ce qui semble indiquer que c'est la box qui laisse passer ce trafic.
-
L’adresse destination est une adresse multicast, donc elle ne peut pas provenir d’Internet. Pour moi c’est la box qui génère ces paquets. Reste à savoir pourquoi avec ces adresses source.
-
Merci pour ta réponse, Zoc.
Si c'est bien la box qui génère ces paquets, je m'interroge sur l'utilisation de ces adresses source.
Peut-il s'agir d'une configuration particulière ou d'un bug ?
Cela dit, si c'était le cas, d'autres personnes auraient probablement signalé le même comportement.
Pourtant, je n'ai rien trouvé en ligne à ce sujet.
J'ai même effectué une réinitialisation d'usine de la box et connecté uniquement un PC avec Wireshark, mais le comportement reste identique.
Je n'y comprends vraiment plus rien. 😢
-
Bonjour,
Je constate la même chose sur ma box SFR 7 abo. Fibre RED-by-SFR.
Je me demande pourquoi ces message ICMP type 9 analysés comme 'Mobile IP Advertisement (Normal router advertisement)' par Wireshark et surtout avec une adresse IPv4 de routeur 42.2.132.43 faisant partie de l' AS4760 de Hong Kong Telecommunications.
-
La destination est un groupe multicast link-local (broadcasté sur LAN) 224.0.0.1, qui est non-routable.
Bref ce qui est certain en premier lieu c'est que ce paquet ne vient pas de l'extérieur, ainsi que le dit zoc.
Les sources sont fantaisistes...
-
Les sources sont fantaisistes...
En les lisant de droite à gauche, les sources ont du sens : "192.168.1.1" & "42.2.132.42".
-
Sauf qu'une IP ne se lit pas à l'envers.
-
Sauf qu'une IP ne se lit pas à l'envers.
🤣
-
Bonjour tout le monde,
Bon, je ne suis pas sûr que ça fasse avancer le schmilblick, mais je suis tombé sur un truc qui pourrait peut-être avoir un rapport… Ou pas !
Il s'agit des "requêtes PTR", qui ont un lien avec l'inversion de l'adresse IP.
Le truc, c'est qu'à ce jour, je n'arrive toujours pas à comprendre quel est le rapport entre ma box, ces requêtes et mon problème… 😅
Mais promis, je continue de gratter dès que j'ai un peu de temps…
Source : https://www.cloudflare.com/fr-fr/learning/dns/dns-records/dns-ptr-record/ (https://www.cloudflare.com/fr-fr/learning/dns/dns-records/dns-ptr-record/)
Comment les enregistrements DNS PTR sont-ils stockés ?
En IPv4 :
Alors que les enregistrements A du DNS sont stockés sous le nom de domaine donné,
les enregistrements PTR du DNS sont stockés sous l'adresse IP, inversée, et avec « .in-addr.arpa » ajouté.
Par exemple, l'enregistrement PTR pour l'adresse IP 192.0.2.255 serait stocké sous « 255.2.0.192.in-addr.arpa ».
-
PTR c'est du DNS, pas de l'ICMP et encore moins de l'IP :)
-
Bonjour Hugues,
Bien vu! donc aucun lien, je vais donc continuer à creuser...
-
Bonjour à tous,
Je sais que cela ne va pas faire avancer ce schmilblick, mais depuis mon changement d'opérateur pour Free, je ne constate plus de problème.
Je n’ai effectué aucune action particulière, j’ai juste branché la Freebox sur le pfsense, et depuis, je n’observe plus de trafic ICMP comme avant.
Dans une certaine mesure, on peut donc considérer le sujet comme clos :)
Merci à vous.
-
Tu vas pouvoir changer ton profil pour qu'il indique Free comme FAI.Pour Free, le développement est interne, il y a même un bugtracker, ce qui change pas mal de choses :
https://dev.freebox.fr/bugs/