Forum général.général Orange et les standards

Posté par  .
Étiquettes : aucune
4
30
juin
2010
Nos règles de pare-feu ont été modifiées il y a quelques mois car Orange a modifié un peu l'adressage de son coeur de réseau.


$ traceroute -n -w 2 google.fr
traceroute to google.fr (216.239.59.104), 30 hops max, 40 byte packets
1 192.168.0.1 1.171 ms 9.997 ms 9.983 ms
2 * * *
3 10.125.99.74 57.621 ms 59.293 ms 60.793 ms
4 193.253.80.86 66.262 ms 66.669 ms 66.997 ms
5 193.252.161.142 68.872 ms 70.723 ms 71.967 ms
6 81.253.131.66 73.987 ms 79.078 ms 74.307 ms
7 193.251.243.78 76.544 ms 48.674 ms 49.282 ms
8 193.251.254.78 50.598 ms 49.896 ms 52.401 ms
9 72.14.238.234 92.660 ms 52.951 ms 72.14.238.228 52.544 ms
10 209.85.243.111 61.876 ms 216.239.43.233 115.418 ms 55.936 ms


Vous avez-vu le troisième saut ?

Alors bien entendu, lorsqu'on a des règles de pare-feu pour se la jouer, on filtre les adresses non routables. Dans ce cas précis, ça ne casse rien car ce n'est pas le premier routeur, mais un de nos sites n'avait plus de connexion internet à cause de cela, la bonne blague. Je ne vous raconte pas le temps mis pour trouver la cause du problème.

A partir du moment où c'est "dans" leur réseau, je suppose que c'est ok. N'empêche ça me fait tout drôle que ce soit exposé.
Un spécialiste peut m'éclairer là dessus ?

  • # chez toi, chez eux, moitié/moitié ?

    Posté par  . Évalué à 3.

    le 192.168.0.1 je suppose que c'est ta passerelle

    la 2 (inconnnue) ce serait la DSLAM ?

    et la 3 c'est chez eux ils y font ce qu'ils veulent.

    autres explications, tu es passé d'une connexion type ADSL simple à une SDSL/VPN/Fibre

    du coup il y a des elements intermediaires non transparents ?

    • [^] # Re: chez toi, chez eux, moitié/moitié ?

      Posté par  . Évalué à 2.

      Oui, comme on ne voit pas le deuxième saut, qui est j'imagine une ip privée également,
      tu sors en fait à partir du quatrième saut.

      Ce qui aurait été plus rigolo, c'est une ip publique sur le deuxième saut en effet, puis retour en privé sur le troisième, mais ce n'est pas le cas.

      Cela ne me choque pas ;)

      Bon courage, A+ Nicolas

      • [^] # Re: chez toi, chez eux, moitié/moitié ?

        Posté par  . Évalué à 4.

        Attends, il y a un truc méga vaseux en fait dans ta remarque,
        j'imagine que vous filtrez les IPs source, mais les sauts ne sont pas inclus dans les paquets !!
        donc l'ip 10.X , n'est jamais visible dans ton pare-feu !, même l'ip du premier routeur n'est pas visible en IP source !, les routeurs ne modifient jamais les IPs hormis en cas de nat...


        Nicolas

        • [^] # Re: chez toi, chez eux, moitié/moitié ?

          Posté par  . Évalué à 3.

          Les sauts ne sont pas inclus, heureusement :-)

          Notre site qui est tombé pendant des heures, ben il avait comme premier saut un routeur en 10.x.y.z Je pense que c'était une erreur car tout a été remis "correctement" quelques jours plus tard.

          Ce qui me fait drôle dans cette histoire, c'est de recevoir une réponse contenant une adresse non routable sur internet. Et cette adresse vient, justement, d'internet (puisque je loue le fait d'être connecté à internet). Je veux bien que ce soit leur réseau, mais je ne suis _jamais_ sensé recevoir de telles adresses (sauf si j'ai un VPN par exemple, mais là ce n'est pas du "internet").

          • [^] # Re: chez toi, chez eux, moitié/moitié ?

            Posté par  . Évalué à 2.

            Ce qui me fait drôle dans cette histoire, c'est de recevoir une réponse contenant une adresse non routable sur internet. Et cette adresse vient, justement, d'internet (puisque je loue le fait d'être connecté à internet). Je veux bien que ce soit leur réseau, mais je ne suis _jamais_ sensé recevoir de telles adresses (sauf si j'ai un VPN par exemple, mais là ce n'est pas du "internet").

            Je dirais que c'est tout à fait classique : ils ont des machines en interne chargées de router le traffic de leurs abonnés, mais qui n'ont pas besoin d'avoir une IP publique (i.e. elles ne sont accédées par Orange que depuis son propre réseau). Elles peuvent router du traffic à destination d'IP publiques sans problèmes, elles ont les routes pour. Et toi, tu ne verras normalement jamais leur adresse nulle part, et effectivement tu as raison de filtrer tout ce qui est non routable. Sauf que là tu as explicitement fait un traceroute, qui doit être la seule commande où tu verras cette machine, mais tu l'as bien demandé : ce 3è hop vient d'un paquet que t'as envoyé avec un TTL de 3, bah là machine fait ce qu'une machine normale fera : _elle_ te renvoie un paquet provenant de son adresse disant que le TTL est arrivé à 0.

            En tous cas, je ne vois pas en quoi cela a pu poser un problème à ton réseau, normalement elle n'interfère en rien. Ce serait bien d'avoir le détail pour qu'on comprenne.

      • [^] # Re: chez toi, chez eux, moitié/moitié ?

        Posté par  . Évalué à 0.

        Le 2ème routeur n'est pas forcément en IP privée, les étoiles montrent juste qu'il ne répond pas au ping.
        Dans tous les cas, il me semble pas que ce soit normal qu'il y ai une IP privée qui se balade comme ça.

        Extrait de wikipedia :
        "IP packets addressed by them cannot be transmitted onto the public Internet."

        http://en.wikipedia.org/wiki/Private_network

  • # Plusieurs réseaux privés

    Posté par  . Évalué à 3.

    Ton réseau possède plusieurs réseaux privés ?

    Il a y une première passerelle (192.168.0.1 1.171), puis un intermédiaire qui route vers une seconde passerelle sur un autre réseau privé (10.125.99.74 57.621).
    Rien d'anormal dans cette situation, non ?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.