Bonjour Frédéric,
Frederic Leroux a écrit :
> Bonjour,
>
> Je viens de me mettre sérieusement à iptables. Grace au site de
> Olivier ALLARD-JACQUIN, c'est assez simple :)
>
> Encore merci à lui ;)
Merci !
> Je loggue tout ce qui est supprimer par mes regles par defaut.
Très bonne usage
> J'ai
> remarquer quelques choses de bizarre, toutes les 12minutes le dslam de
> free m'envoie des trames aver comme port source 138 et port
> destination 138 en udp
>
> Voila une petite capture
>
> Mar 5 10:50:47 max INDROP IN=eth1 OUT= MAC= SRC=82.228.183.X
> DST=82.228.183.255 LEN=239 TOS=00 PREC=0x00 TTL=64 ID=17923 DF
> PROTO=UDP SPT=138 DPT=138 LEN=219
Qu'est-ce qui te fait penser que "82.228.183.X" est le DSLAM de Free ?
Ne penses-tu pas que cela peut-être un autre abonné Free, tout simplement ?
As-tu remarqué que l'adresse IP de destination était "82.228.183.255" ?
Ceci est une adresse dite de "broadcast", ce qui veut dire que
"82.228.183.X" veut envoyer son paquet à toutes les machines dont
l'adresse IP est comprise entre "82.228.183.1" et "82.228.183.254"
(bornes comprises).
Enfin, le "/etc/service" nous donnes ceci :
netbios-dgm 138/tcp # NETBIOS Datagram Service
netbios-dgm 138/udp
L'explication est donc assez simple : "82.228.183.X" est
vraisemblablement une machine Windows qui envoie à intervalle régulier
des paquets 138/udp à destination de toutes les machines de son
sous-réseau, afin de "découvrir" sont environnement.
C'est typiquement le fonctionnement par défaut du mécanisme de partage
de fichiers utilisé par Windows, appelé "SMB".
Rien d'affolant donc...
Si tu utilises un sniffer de trames (ethereal par exemple
http://olivieraj.free.fr/fr/linux/information/firewall/fw-02-02.html#II-2-3
), tu pourras décortiquer les paquets qui te sont envoyés, et tu y
trouveras normalement le nom NETBIOS de cette machine.
[...]
> Qu'est ce qu'il y aurai comme explication à cela, est ce que d'autres
> personnes en freebox aurai ses trames?
Certains FAI filtrent ce genre de trames, notamment celles qui viennent
depuis des réseaux de concurrents. Dans le cas de Free et du mode
"bridge", ou du dégroupage, que tu sembles vraisemblablement utiliser,
je ne suis pas sûr que Free puisse techniquement (et à moindre coût)
filtrer ce genre de paquets. Du moins, pas pour ceux qui se trouvent sur
le même réseau 82.228.183.0/255.255.255.0 que toi.
Pour faire simple, avec une FreeBox en "mode bridge"/"dégroupé", les
abonnés sont connectés dans une sorte de "réseau local" de 253
(=255-1-1) machines. Réseau dont il faut se méfier comme de la peste,
car tu n'as aucune idée de l'identité et des intentions des autres
abonnés de ce réseau.
C'est justement ce principe de "réseau local" qui m'a poussé à créer
l'option "degroupe" dans mon script "netfilter_cfg"
http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/ , et ce, afin
de n'accorder aucune confiance aux machines en 82.228.183.0/255.255.255.0.
Cordialement,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: http://olivieraj.free.fr/
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!