You are not logged in.
Hello. _o/
J'ai un petit problème réseau avec un mon routeur. Celui-ci tourne sous la distribution OpenWRT 14.07.
Certains paquets transitant du réseau Lan au réseau Wan gardent leur adresse ip source en 192.169.1.X. Comme ces paquets ont pour adresse mac source celle de l'interface connectée au réseau Wan mais une IP qui ne correspond pas à celle de cette même interface, les équipements réseau de mon FAI ont tendance à me couper la ligne dans ces moments là.
J'ai regardé les règles IPTables de mon routeur, mais le masquage d'IP est activé:
Chain zone_wan_postrouting (1 references) target prot opt source destination postrouting_wan_rule all -- anywhere anywhere /* user chain for postrouting */ MASQUERADE all -- anywhere anywhere
Quelqu'un aurait-il une idée?
Last edited by Séb (19 Mar 2015 10:28:55)
Offline
Hello,
J'ai aussi openwrt 14.07 sur mon routeur, mais je l'ai configuré avec leur interface web (Luci). J'ai essayé de voir mes règles iptables et je n'ai aucune ligne avec "MASQUERADE", malgré que l'option soie activée pour la zone wan.
Toutes les lignes que j'ai en rapport avec cette zone sont (sans les filtres d'entrée):
Chain zone_wan_output (1 references)
target prot opt source destination
output_wan_rule all -- anywhere anywhere /* user chain for output */
zone_wan_dest_ACCEPT all -- anywhere anywhere
Chain zone_wan_src_REJECT (1 references)
target prot opt source destination
reject all -- anywhere anywhere
Offline
As-tu regardé directement dans la table nat: iptables -L -t nat ?
Offline
ah oui, effectivement, je n'avais utilisé que l'option '-L'. J'ai donc la même chose :
Chain zone_wan_postrouting (1 references)
target prot opt source destination
postrouting_wan_rule all -- anywhere anywhere /* user chain for postrouting */
MASQUERADE all -- anywhere anywhere
Mmmhh, je sais que j'ai aussi désactivé le "MSS Clamping" sur toutes mes zones, mais je ne me rappelle plus pourquoi je l'ai fait.
Offline
J'ai mis à jour mon routeur, J'ai pris une version de dév d'OpenWRT.
Elle règle plusieurs problèmes, dont celui des paquets qui gardaient comme IP source une IP du réseau local.
Par contre, en détectant avec tcpdump les paquets en sortie qui ont la bonne adresse mac source mais par la bonne adresse IP source, j'ai toujours des paquets comme ceci:
03:31:39.407931 aa:aa:aa:aa:aa:aa > ff:ff:ff:FF:FF:FF, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has YYY.YYY.YYY.YYY tell XXX.XXX.XXX.XXX, length 28
Où:
- aa:aa:aa:aa:aa:aa est l'adresse mac de mon interface Ethernet connecté au réseau du FAI.
- ff:ff:ff:FF:FF:FF est l'adresse mac d'un équipement de mon FAI. La machine où se trouve leur serveur DHCP, je présume.
- YYY.YYY.YYY.YYY est l'adresse IP correspondant à l'adresse mac du même équipement du FAI que cité la ligne au dessus.
- XXX.XXX.XXX.XXX est mon adresse IP public.
Mais je ne sais si c'est normale ou pas.
Quand mon routeur fait n'importe quoi, les équipements de mon FAI bloquent ma connexion.
Depuis la mise à jour, je n'ai eu qu'une coupure nette (nécessitant une ré-initialisation de la connexion)
et plusieurs très courtes coupures où tout revient vite à la normal.
Je ne sais pas si les paquets détectés par tcpdump sont la cause ou la conséquence de ces micro-coupures.
Last edited by Séb (22 Feb 2015 05:19:17)
Offline
Rectification, en voilà deux:
03:44:00.095703 aa:aa:aa:aa:aa:aa >ff:ff:ff:FF:FF:FF, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 30929, offset 0, flags [DF], proto TCP (6), length 52) 192.168.7.237.57912 > vvv.vvv.vvv.vvv.vvvv: Flags [R.], cksum 0x844f (correct), seq 2600988415, ack 2178291637, win 1040, options [nop,nop,TS val 6003192 ecr 844889508], length 0 03:44:00.120923 aa:aa:aa:aa:aa:aa > ff:ff:ff:FF:FF:FF, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 6495, offset 0, flags [DF], proto TCP (6), length 52) 192.168.7.237.61356 > zzz.zzz.zzz.zzz.zzzz: Flags [R.], cksum 0xccf8 (correct), seq 2701944257, ack 1628634018, win 1040, options [nop,nop,TS val 6003218 ecr 299991797], length 0
Si quelqu'un a une idée, je suis preneur.
Offline
J'ai finalement créé un rapport de bogue chez OpenWRT: https://dev.openwrt.org/ticket/19050
On verra bien.
Last edited by Séb (25 Feb 2015 23:49:43)
Offline
Serait-il possible, avec IPTables, de bloquer ces paquets non masqués?
Offline
J'ai pensé à cette règle:
iptables -t nat -A POSTROUTING -o eth0 -s ! XXX.XXX.XXX.XXX -m mac --mac-source aa:aa:aa:aa:aa:aa -j DROP
Mais j'obtiens cette erreur:
Bad argument: XXX.XXX.XXX.XXX
Offline
J'ai ajouté la règle suivante:
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
Mais rien n'y fait. J'ai toujours des paquets non masqués qui sortent par eth0
Offline
Problème résolu.
Il faut désactiver l'option "net.netfilter.nf_conntrack_skip_filter"
Plus d'infos ici: http://wiki.openwrt.org/doc/uci/firewal … kip_filter
Offline