1 entrée de trop dans la table ARP, ou non ?

[rv91]

Bonsoir,

(Une question de débutant sans doute.)
Pour protéger un réseau domestique je viens d'installer IPCop comme suit :

freebox (1) IP Lan 192.168.0.254
I
IPCop Red - eth2 = 192.168.0.253 Bcast:192.168.0.255 Mask:255.255.255.0
I
I------Orange - eth1 = 192.168.2.254 Bcast:192.168.2.255 Mask:255.255.255.0
I . . . . . I
I . . . . switch Netgear (2)
I . . . . . I-------SME7.3 e-limo0 = 192.168.2.253 (serveur web + mail)
I . . . . . I-------SME7.3 e-limo1 = 192.168.2.252 (partage + backup)
I
I------Green - eth0 = 192.168.1.254 Bcast:192.168.1.255 Mask:255.255.255.0
. . . . . . I
. . . . switch Netgear
. . . . . . I-------PC 1 - ip/dns = DHCP par IPCop = 192.168.1.223
. . . . . . I-------PC 2, 3,

Je pensais ma config ok, sauf que je trouve ceci dans le panneau de config :

Entrées dans la table ARP
Address---------HWtype---HWaddress---------Flags Mask-----Iface
192.168.1.223-ether------00:xxxxxxxxxxx--C----------------eth0
192.168.0.254-ether------00:xxxxxxxxxxx--C----------------eth2
192.168.51.1-ether----00:xxxxxxxxxxx -C----------------eth1
192.168.2.253--ether-----00:xxxxxxxxxxx--C-----------------eth1
192.168.2.252--ether-----00:xxxxxxxxxxx--C ----------------eth1

Je précise que :

(1) La freebox est en mode routeur et wifi avec l'IP Red d'IPCop dans la DMZ avec transfert des plages de ports TCP/UDP de 0 à 65535 ; c dans l'attente d'acquérir un point d'accés wifi pour une future zone bleue ds IPCop et la freebox repassera en mode bridge.

(2) En fait c'est un routeur/switch ; mais je n'utilise par l'entrée Internet mais 3 des prises du switch : IPCop Orange+Serveur0+Serveur1.

Donc je comprends pas à quoi correspond 192.168.51.1 (ça n'est pas l'un des pc du lan en tout cas).

Nota : addons installés = SquidGuard + Net-Traffic + Copplus.
Qu'en pensez-vous ?

[ccnet]

[ ...] et wifi avec l'IP Red d'IPCop dans la DMZ avec ...

Je ne comprend pas comment cela se traduit dans votre configuration. Sinon le reste est clair et me semble correct.
Sinon vous avez des voisins ? Dès lors qu'il y a du wifi on peut se demander si quelqu'un n'essaye pas d'en profiter ... Le nombre de fois où j'ai pu me connecter à internet, à l'hôtel en ville par exemple, grace à un wifi qui trainait par là ....
Arriveriez vous à pinguer cet hôte ?

[jdh]

Les adresses mac n'ont pas besoin d'être cachées ...

Le fait que cette adresse viennent d'eth1 peut laisser penser qu'il s'agit du switch/routeur (et donc de l'adresse wan de celui-ci). Comme quoi, bien qu'il y ait beaucoup d'infos (et plus que la moyenne), il en manque encore quelques unes ...

[rv91]

Ca veut dire :

Freebox serveur DHCP du réseau 1 avec :
I
I-----wifi mimo
I
I-----Red IPCop

Je viens d'autoriser le ping sur les interfaces sauf red :
- ping ok sur 192.168.1.254
- ping ko sur 192.168.51.1
sme ne réponds pas au ping mais ça c'est normal.

Puisque c'est sur l'interface eth1, je me demandais si ça pouvait correspondre au switch ... mais comme je n'utilise justement pas la partie firewall/routeur ça n'est pas ça. (?)

@+

[rv91]

Comme quoi, bien qu'il y ait beaucoup d'infos (et plus que la moyenne), il en manque encore quelques unes ...

pourtant dans mon premier post je précise que ça n'est pas uniquement un switch :
c'est le point (2) En fait c'est un routeur/switch ; mais je n'utilise par l'entrée Internet mais 3 des prises du switch : IPCop Orange+Serveur0+Serveur1.

[jdh]

J'ai très bien lu !

Le switch est un routeur donc il a une config ... qui n'est pas donnée. Ce routeur a forcément 2 adresses ip ! Peut-être envoie-t-il un paquet avec la mauvaise adresse ip ?

Le ping vers 192.168.51.1 ne peut, naturellement, aboutir. D'ailleurs la table de routage ne peut que l'indiquer ...

[Franck78]

Passe une machine en 192.168.51.10 et interroge! Avec nmap par exemple. De toute facon, le risque est nul, comme laisser visible les macs address

[rv91]

J'ai très bien lu ! Le switch est un routeur donc il a une config ... qui n'est pas donnée.

Ok, c'est beaucoup plus qu'une omission car j'ai pris ce que j'avais sous la main avec un raisonnement simpliste : je n'utilise par le port wan donc pas de config ...

Pfff ça fait trop longtemps qu'il ne sert plus : je vais devoir télécharger la notice de NETGEAR et le remettre en config usine pour pouvoir me connecter à la console d'administration : désactiver le DHCP et lui donner une IP LAN dans la range de eht1 (192.168.1.xxx) - L'IP WAN n'est pa connecté donc aucune règle de routage à entrer.

Pour les adresses MAC : j'apprends.


@+

[jdh]

Bien.

Ce fil témoigne d'un soin à présenter beaucoup d'informations car l'interrogation est forte. Il faut continuer (et ceux qui présente des questions doivent apprendre à mettre autant d'infos).

Néanmoins, un "petit" détail, incomplètement décrit, est peut-être l'élément cherché.

Un routeur utilisé pour sa seule fonction switch côté Lan, peut être à source du problème. Chez moi, je suis exactement dans cette situation avec un routeur wifi WRT54G. J'ai configuré le côté Wan avec un adressage statique (dont j'ai noté le n° de réseau afin de ne pas être surpris si une adresse de ce réseau survenait).

[rv91]

Trop heureux de servir d'exemple (ou de contre-exemple)
Je reviendrai bientôt confirmer que le "soucis" est résolu.
@+

[rv91]

Voilà c'est fait !

Le firewall/routeur FR114P est maintenant configuré comme suit :
WAN Port - Fixed IP - IP Subnet Mask 255.255.255.0 (a priori tt ça ne sert à rien car non connecté)
LAN Port - IP Address 192.168.2.1 - DHCP OFF - IP Subnet Mask 255.255.255.0
J'ai enregistré la carte red de IPCop et les 2 serveurs en Static Routes.

Idem côté IPCop, j'ai enregistré dans hôtes statiques les 2 serveurs et l'IP LAN du routeur.

nota 1 : il me semble que j'accède maintenant beaucoup plus rapidement aux applications sur l'un ou l'autre serveur. Cependant la raz du firewall/routeur ne m'a pas permis de lire les logs et donc de voir des packets perdus ou autre.

nota 2 : l'IP LAN du routeur est "revenue" dans la table ARP.

Merci à jdh & ixus,
Pour moi le sujet est RESOLU.