Re: Interception d'envoi de données vers l'extérieur

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: guilde
Sujet: Re: Interception d'envoi de données vers l'extérieur
    Bonsoir Fréderic,

Le 14/07/2016 à 16:59, Frédéric a écrit :
> Le jeudi 14 juillet 2016, Olivier a écrit :
>
>> Si tu lances un tcmpdump sur 192.168.0.4 , qu'est-ce que tu vois ?
>
> La même chose : les paquets arrivent bien sur ma machine, pas de souci de
> ce côté.
>
> Le routeur tourne sous OpenWRT, et la config via LuCI est assez bien
> faite : on sélectionne source/destination (wan/lan), et ça roule.
>
> D'ailleurs, un coup de iptables sur le routeur le confirme :
>
> -A zone_lan_forward -s 192.168.0.50/32 -d 192.168.0.4/32 -p tcp -m tcp
> --dport 5080 -j ACCEPT
>
> non ?


    Difficile à dire sans la liste complète des commandes iptables utilisés.


    Par contre dans dont autre mail on voit ceci :


12:23:30.541535 IP **192.168.0.50.49281** > 192.168.0.4.5080: Flags [S], seq
669153, win 2920, options [mss 1460], length 0

    Il n'y a donc pas de "masquerade", c'est à dire que :
- le routeur à renvoyé vers 192.168.0.4.5080 le paquet venant de
192.168.0.50.49281. Il ne s'est donc pas fait passer pour "192.168.0.50"
- donc du point de vu de "192.168.0.50", il envoie un requête à ton
routeur, et c'est une autre machine (adresse MAC différente) qui réponds
- Cela devrait briser le handshake, non ?
- Je serais lui, je n'apprécierai pas !!! ;)


    D'un autre côté, cela explique pour quoi le tcpdump du **routeur** ne
voit pas la réponse de ta machine. En effet, 192.168.0.4 doit
probablement répondre DIRECTEMENT à "192.168.0.50", sans passer par le
routeur ...


> J'ai fait le même test que toi, et ça fonctionne effectivement bien. Du
> coup, je ne pige pas...


1) Envoie-moi le tcpdump lancé SUR TA MACHINE, il est probable que l'on
voit le SYN + ACK que ta machine fait à "192.168.0.50". Mais que
celle-ci n'apprécie pas cette réponse "man in the middle" ...

2) Il y a peut-être un problème de table ARP:
- après une redirection par le routeur (échec), depuis ta machine lance
un "ping 192.168.0.50", puis un "arp -an", afin de vérifier si ta
machine connaît bien l'adresse MAC de "192.168.0.50"
- puis, laisse "192.168.0.50" refaire une connexion.

    Cordialement,


                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!