Forum général.général Mon petit réseau ...

Posté par .
Tags : aucun
2
21
oct.
2010
Salut les moules !


Chez moi, on a un réseau local qui relie une quinzaine de maisons environnante. Tout est cablé en Ethernet, et le traffic sort d'une maison.
Voici un petit schéma en ASCII, représentant en gros la topologie du réseau.
Les x sont les postes clients, les o des switchs, Y c'est moi


Internet--Freebox--openwrt--o--x
| |--x
x--o--x |---o---Y
| |---x
x


Je voudrais surveiller le traffic; y'a pas mal de ralentissements sur le réseau, et donc je voudrais trouver la machine coupable.

1) L'utilisation de wireshark de chez moi est-elle pertinente pour voir tout le traffic ? (il me semble que oui, ma machine se place en man-in-the-middle, et wireshark analyse donc tout ce qui passe. J'ai bon ?)

2) Comment je peux trier le traffic légitime de l'indésirable ? Un tri par IP est-il pertinent ?

3) Y'a-t-il d'autres pistes à explorer ?

Question bonus :
Quand deux postes reliés au meme switch échangent un fichier, le flux passe-t-il par le routeur, ou bien il s'arrete au switch ?

Merci d'avance pour votre aide :) Peut-etre mes questions sont-elles basiques, auquel cas, existe-t-il un "cours" de qualité sur le grand thernet ?

Bonne après midi :)
  • # un sujet

    Posté par (page perso) . Évalué à 1.

    Hello,

    1) si tu fais un MITM tu devrais voir passer tout le traffic, mais je ne crois pas que wireshark te le fasse de lui même. ou alors j'ai pas suivis les évolutions

    pourquoi ne pas le faire sur ton openwrt ? ça semble plus simple pour voir ce qu'il se passe
    sans faire de mitm

    2) tout dépend de ce que tu appelle un traffic "pertinent"

    ip, port, protocol, gnagnagna.

    A toi de définir ce que tu accepte ou non sur ton réseau !

    3) tester ta bp, ce n'est peut être pas qu'un probleme de traffic
    je pense à iperf

    peut être que tes interfaces négocient mal le protocol à utiliser, etc
    • [^] # Re: un sujet

      Posté par . Évalué à 1.

      >je pense à iperf

      Sur le réseau local, je trouve du 88 Mbits/s.
      Ca me parait raisonnable, les switchs indiquant qu'ils font du 100Mbps.

      Par contre, pas moyen de tester par internet, mais peut-etre n'ai-je pas la bonne méthode ?
      Machine 1 : iperf -s (avec le port 5001 qui redirige sur cette machine)
      Machine 2 : iperf -c mon.ip.pub.lique -p 5001


      Est-ce une bonne méthode pour tester ma BP ? Je pensait que le traffic-test allé sortir de 2, passé par internet, et revenir en 1. Ou alors il faut un serveur iperf à l'extérieur de mon réseau.
      • [^] # Re: un sujet

        Posté par . Évalué à 2.

        depuis la passerelle (le WRT ou une machine in the middle pour l'occasion)

        iftop
        ou
        iptraf

        devrait te donner plein d'info sur "qui consomme" en allant "vers quel site"
  • # route par defaut

    Posté par . Évalué à 1.

    temporairement, tu peux faire en sorte que openwrt change de route par défaut et envoie le traffic réseau sur Y (ton PC) ; tu pourra y faire toute l'analyse que tu veux avec des outils puissants.

    de mémoire, sur openwrt : route del default, route add default GW ip-Y

    quand tu veux revenir a config nominal : reboot.
    • [^] # Re: route par defaut

      Posté par . Évalué à 1.

      >des outils puissants

      Aurais-tu des noms a me proposer ?

      >route del default, route add default GW ip-Y

      En routant de cette manière, plus personne n'aurait accès à internet avant le reboot ? Ou alors le traffic serait juste "dupliquer" vers Y ? (j'imagine que non, vu le "del default"
  • # pas trop compris le shema

    Posté par . Évalué à 3.

    alors je reprend

    Internet
    |
    box fournisseur
    |
    openwrt
    |
    | x
    |-----o--x
    | x
    |
    |
    |-----o---Y
    |
    |
    |-----o--x


    en gros ton openwrt partage la connexion internet de la box vers diverses machines...

    ma premiere idée, vue que tu parles de plusieurs 'maison'
    c'est que certains font du peer2peer
    ca a le don de faire exploser le nombre de connexion simultanée, et donc d'ecrouler ton trafic.

    en gros, trop de trafic sortant (en terme de socket ouvert)
    -> plus possible d'envoyer les requetes ou les Ack quand tu recois des paquets
    = impression qu'internet rame voire ne fonctionne plus


    bonus :
    si deux machins sont sur un switch ET quelle communique par leur IP interne
    alors y a pas de reseau que le trafic aille ni sur internet, ni sur le routeur (sauf si ce dernier fait aussi switch)
    • [^] # Re: pas trop compris le shema

      Posté par . Évalué à 2.

      >c'est que certains font du peer2peer
      >ca a le don de faire exploser le nombre de connexion simultanée, et donc d'ecrouler ton >trafic.

      C'est en effet possible. Je vais regarder avec wiresharck (depuis le routeur).

      > en gros, trop de trafic sortant (en terme de socket ouvert)
      > -> plus possible d'envoyer les requetes ou les Ack quand tu recois des paquets
      > = impression qu'internet rame voire ne fonctionne plus

      Est-il possible de limiter ce phénomène sans pour autant bloquer le p2p ?
      • [^] # Re: pas trop compris le shema

        Posté par . Évalué à 2.

        Peut-être tc ? Si c’est possible avec openWRT (à priori oui).

        http://lartc.org/howto/lartc.qdisc.html et la suite.

        Il y a un peu de lecture à faire (c’est un euphémisme). (Pour info. une classe par « client » réglée en htb rate $user_bandwidth ceil $bandwidth, où $user_bandwidth est la bande totale divisée par le nombre d’utilisateurs et $bandwidth la bande totale, devrait faire l’affaire.)

        Dans tous les cas je m’en sers pour mon ordinateur perso. mais au niveau des ports (pour différencier ssh, streaming, téléchargement, web, etc.), et ça marche plutôt bien.
  • # netstat -an de partout ?

    Posté par (page perso) . Évalué à 1.

    Si tu peux,j évidemment, quand tu as le ralentissement, te logger sur chaque machine.

    If you choose open source because you don't have to pay, but depend on it anyway, you're part of the problem.evloper) February 17, 2014

  • # Au final ...

    Posté par . Évalué à 1.

    Merci à vous :)

    Je vais mettre en place une politique de QoS pour pas que quelqu'un mange toute la bp pour lui.

    Une question annexe : certaines ips n'ont visiblement pas de hostname.
    Est-il possible de leur interdire la connexion tant qu'il n'en ont pas ? J'ai pas trouvé d'option qui allait dans ce sens dans dnsmasq. D'après ce que j'ai compris, c'est lui qui est serveur DHCP, et qui file les ips.
    Ou bien il en ont un, mais il est coincé dans un tuyaux ?

    J'ai conscience que ca ne changera pas grand chose niveau sécurité, mais c'est plus pratique :)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.