Problèmes Martians et déconnexion

[Chirrete]

Bonjour,
J'ai un gros réseau de 220 machines, avec IPCOP 1.4 pour firewall+proxy+squidguard (établissement scolaire) et windows 2003 server pour le DHCP et le reste.

Depuis deux jours, nous avons de gros soucis de connexion. De nombreux postes n'ont plus accès à internet, mais on ont accès au reste du réseau, et ceci de manière aléatoire.
Je peux pinguer sans souci IPCOP, mais celui-ci rejette les connexions internet.

Dans les logs je note les informations suivantes :

Dans ceux du firewall, on me bloque des postes du réseau sur le port 800 (proxy) avec un log de ce type :
16:23:35 NEW not SYN? eth0 TCP 172.18.87.12 50088 00:19:d2:c8:d0:0f 172.18.87.245 800(MDBS_DAEMON)

Ensuite dans les logs du système, j'ai les infos suivantes :

395 Time(s): ll header: ff:ff:ff:ff:ff:ff:00:40:f4:98:26:be:08:06
11 Time(s): martian source 172.18.87.1 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.11 from 172.18.87.245, on dev eth1
84 Time(s): martian source 172.18.87.12 from 172.18.87.245, on dev eth1
3 Time(s): martian source 172.18.87.137 from 172.18.87.245, on dev eth1
4 Time(s): martian source 172.18.87.138 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.140 from 172.18.87.245, on dev eth1
2 Time(s): martian source 172.18.87.143 from 172.18.87.245, on dev eth1
12 Time(s): martian source 172.18.87.150 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.151 from 172.18.87.245, on dev eth1
6 Time(s): martian source 172.18.87.152 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.154 from 172.18.87.245, on dev eth1
20 Time(s): martian source 172.18.87.155 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.159 from 172.18.87.245, on dev eth1
4 Time(s): martian source 172.18.87.161 from 172.18.87.245, on dev eth1
17 Time(s): martian source 172.18.87.162 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.166 from 172.18.87.245, on dev eth1
2 Time(s): martian source 172.18.87.170 from 172.18.87.245, on dev eth1
11 Time(s): martian source 172.18.87.171 from 172.18.87.245, on dev eth1
3 Time(s): martian source 172.18.87.175 from 172.18.87.245, on dev eth1
3 Time(s): martian source 172.18.87.178 from 172.18.87.245, on dev eth1
3 Time(s): martian source 172.18.87.18 from 172.18.87.245, on dev eth1
2 Time(s): martian source 172.18.87.194 from 172.18.87.245, on dev eth1
13 Time(s): martian source 172.18.87.195 from 172.18.87.245, on dev eth1
2 Time(s): martian source 172.18.87.197 from 172.18.87.245, on dev eth1
20 Time(s): martian source 172.18.87.199 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.204 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.216 from 172.18.87.245, on dev eth1
10 Time(s): martian source 172.18.87.22 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.23 from 172.18.87.245, on dev eth1
4 Time(s): martian source 172.18.87.24 from 172.18.87.245, on dev eth1
21 Time(s): martian source 172.18.87.240 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.28 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.31 from 172.18.87.245, on dev eth1
4 Time(s): martian source 172.18.87.39 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.42 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.44 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.52 from 172.18.87.245, on dev eth1
5 Time(s): martian source 172.18.87.54 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.61 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.62 from 172.18.87.245, on dev eth1
25 Time(s): martian source 172.18.87.66 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.69 from 172.18.87.245, on dev eth1
57 Time(s): martian source 172.18.87.70 from 172.18.87.245, on dev eth1
17 Time(s): martian source 172.18.87.74 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.79 from 172.18.87.245, on dev eth1
11 Time(s): martian source 172.18.87.80 from 172.18.87.245, on dev eth1
1 Time(s): martian source 172.18.87.89 from 172.18.87.245, on dev eth1

Jusque là tout fonctionnait impecablement. La seule différence c'est que l'établissement scolaire est en travaux, et que des techniciens sont intervenus sur le cablage du réseau.

J'ai essayé de vous donner le plus d'infos précises. Est-ce que quelqu'un aurait une idée ?

Merci d'avance,

[Chirrete]

Je viens de me rendre compte que dans les logs de snort, j'avais les infos suivantes :

Date: 01/30 16:03:00 Nom: (http_inspect) BARE BYTE UNICODE ENCODING
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 172.18.87.178:2577 -> 172.18.87.245:800
Références: aucune entrée trouvée SID: n/a
Date: 01/30 16:02:42 Nom: (http_inspect) BARE BYTE UNICODE ENCODING
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 172.18.87.178:2575 -> 172.18.87.245:800
Références: aucune entrée trouvée SID: n/a
Date: 01/30 16:02:42 Nom: (http_inspect) BARE BYTE UNICODE ENCODING
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 172.18.87.178:2574 -> 172.18.87.245:800
Références: aucune entrée trouvée SID: n/a
Date: 01/30 16:02:42 Nom: (http_inspect) BARE BYTE UNICODE ENCODING
Priorité: n/a Type: n/a
Informations sur l'adresse IP: 172.18.87.178:2573 -> 172.18.87.245:800
Références: aucune entrée trouvée SID: n/a

Je suis encore plus dérouté...

[ccnet]

Si vous commenciez par nous donner l'ensemble du plan d'adressage et un schéma réseau ?
Parmi les postes, en existe t il ne serait qu'un seul qui soit un portable se connectant ailleurs que sur le réseau de l'établissement ?

16:23:35 NEW not SYN? eth0 TCP 172.18.87.12 50088 ...

Un classique maintes fois évoqué sur ce forum. Problème connu de la pile TCP IP de Windows.

Quel est le numéro du réseau normalement connecté à eth1 ?

11 Time(s): martian source 172.18.87.1 from 172.18.87.245, on dev eth1

Vous êtes certain de la seconde adresse ?
Un réseau wifi ?
Quelque chose ne colle pas : sur eth0 et eth1 vous recevez des paquets avec une ip source dans le réseau 172.18.87.0 (donnez le masque). Avec le plan d'adressage et un schéma on devrait y voir un peu plus clair.

PS : proxy+squidguard+snort sur ipcop c'est une vraie folie. BOT n'est pas installé ?

[Chirrete]

Quelques précisions :

Nous sommes 2 collègues qui venons de reprendre ce réseau déjà en place, et très complexe : différents bâtiments, de la fibre optique, des bornes d'accès wifi..., de multiples switchs, des serveurs de fichiers... dont nous ne connaissons pas complètement l'architecture puisque nous n'étions pas là lorsque tout a été installé... et ils nous est difficile de tout toucher afin de ne pas paralyser les 2000 usagers de l'établissement ! (on fait au fur et à mesure).

L'installation serveur 2003+IPCOP a été faite selon la marche à suivre éducation nationale (application IACA).

En gros, ce que l'on peut dire :

Internet (par fibre optique) puis routeur.
|
IPCOP : green 172.18.87.245 masque : 255.255.255.0 (pas de dhcp. IP fixe . squidguard installé)
|
SWITCH-- Win 2003 server 172.18.87.1 masque : 255.255.255.0 DHCP activé : plage 172.18.87.10 - 172.18.87.230
De ce switch part tout le trafic vers les différentes parties de l'établissement. Après c'est le grand flou, puisque nous ne connaissons pas toute l'architecture :
Il y a des bornes wifi en IP fixes (10), des serveurs de fichiers, les imprimantes, entre 172.18.87.230 et 240. Tout ce petit monde est branché un peu partout sur le réseau...

Malgré ce gros bazar que nous essayons de ranger... cela marchait sans souci jusqu'à ce que des techniciens interviennent pour câbler une salle et mettre un nouveau switch dans cette dernière....
Depuis le réseau a tous ces soucis.

Mon hypothèse est une erreur de branchement de leur part... mais reste à confirmer.

Effectivement il y a des portables sur le réseau (et les utilisateurs sont divers...), mais jusque là, leur présence ne posait aucun souci.

Voila les quelques infos. J'ai peut-être oublier quelques précisions...

Merci d'avance

PS : petit erreur, SNORT ne fonctionne pas sur cet IPCOP. BOT je ne connais pas, mais cela pourrait être interessant. Notre priorité étant le filtrage, nous avons mis squidguard, qui est une recommandation académique...

[ccnet]

Je repose une question importante : sur ipcop green est sur eth0 ou eth1 ? Quel sont la marque et le modèle du nouveau switch ?
Savez vous quelle est la machine avec l'ip 172.18.87.245 ?

Un utilitaire comme nmap pourrait vous aider à cartographier votre réseau.

[Chirrete]

eth0 c'est green en 172.18.87.245 masque 255.255.255.0

eth1 Red en IPfixe fournie par le FAI

Je ne pourrais pas avoir la marque du nouveau switch avant lundi... week-end oblige.

Plus ça va, plus j'ai l'impression qu'il y a un problème de cablage.

[ccnet]

Plus ça va, plus j'ai l'impression qu'il y a un problème de cablage.

C'est tout fait possible.Sur Eth1 il ne devrait pas y avoir de paquet du réseau 172.18.87.0. L'idée serait de vérifier si il n'y a pas une boucle qui shunt le firewall. Le plus simple est de commencer par vérifier la connectivité côté Red.

[Chirrete]

Et oui, effectivement après vérification, un câble avait fait son apparition connectant un autre port du routeur directement au switch en "shuntant" IPCOP... ce qui faisait tourner une boucle...