[Résolu] Pb Firewall


#1

Bonjour,

Depuis vendredi, sur le firewall que j’ai mis en place dans la boite ou je suis :


| F |–eth1
|W|–eth2
| |–eth3

Ce dernier fait également office de serveur DHCP pour eth1 et eth2.

J’ai le message suivant : eth1: received packet with own address as source address

J’ai essayé de “googuéliser” le problème, et j’ai trouvé que c’était très certainement du IP Spoofing. Or, je n’ai apparemment aucune machine sur eth1 qui ferait du IP Spoofing…

Voici un lien pour télécharger les logs :
syslog
kern.log

Merci d’avance pour toute aide !!


#2

Essayes d’installer un SNORT (IDS) pour surveiller tes interfaces, les messages seront peut être un peu plus parlant.
Sinon, tu peux aussi rajouter une chaine log pour ce qui provient de ta machine, en INPUT et OUTPUT, pour voir si tu as des infos de mac address sur la machine qui fait des tentatives de spoofing.
Sinon aussi, la tentative de spoof peut trés bien correspondre à qqchose de l’exterieur qui attaque l’interface interne, et même, si ton firewall est un peu compliqué et bordelisé, peut être un mangle mal fait…


#3

Alors Matt, ces vacances sont enfin terminées ? C’est pas beau de laisser les copains sans nvelles :laughing:
PS :
J’aime bien ta nvelle signature, elle colle parfaitement à tes pensées.


#4

Pourquoi ?


#5

Pourquoi ?[/quote]
Ah, mais je ne sais pas s’il est bordellisé, tu dois le savoir mieux que moi :wink:


#6

OK !!! :blush:

C’est la fatigue, avec l’approche des exams… :confused:
Faut que je dorme un peu plus…


#7

Non, car actuellement le FIREWALL fonctionne avec eth0 (Internet), eth2 et eth3 de connectés.

C’est lorsque je connecte le cable reliant le réseau en eth1 que le message apparait et fait se figer le FIREWALL.


#8

Bon, n’ayant pas été sur place lundi, je n’ai pu rebrancher le cable du eth1, étant employé dans un centre de formation étblit sur deux sites.

J’ai contacté le professeur d’informatique des BTS Informatique de Gestion première année pour le prévenir qu’ils n’auraient pas Internet et accès au réseau de toute la journée. Il a donc prévenu les étudiants en leur mettant un coup de pression, car il semblait que le problème avait été causé par eux…

Et comme par hasard, hier, étant revenu sur site, je rebranche le cable en eth1, rallume tous les postes… Et rien… Plus de message…

J’ai quand même activé les log en INPUT et OUTPUT et j’ai installé snort pour une prochaine tentative.

Merci Matt !