OpenWRT... C'est quoi le port 41170 qui sort du routeur ???

[Walkyrie_II]

Voila comme je suis un grand parano je me fais du tcpdump sur mon OpenWRT fraichement installé et voila le resultat

TEST1 : TCPCUMP sur l'interface LAN et je fais 2 série de 2 ping depuis un poste client

root@OpenWrt:~# tcpdump icmp -i br0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br0, link-type EN10MB (Ethernet), capture size 96 bytes
13:21:14.452463 IP 192.168.2.4 > 192.168.1.3: ICMP echo request, id 512, seq 4864, length 40
13:21:14.454655 IP 192.168.1.3 > 192.168.2.4: ICMP echo reply, id 512, seq 4864, length 40
13:21:15.453161 IP 192.168.2.4 > 192.168.1.3: ICMP echo request, id 512, seq 5120, length 40
13:21:15.455317 IP 192.168.1.3 > 192.168.2.4: ICMP echo reply, id 512, seq 5120, length 40
13:21:53.536219 IP 192.168.2.4 > 192.168.1.3: ICMP echo request, id 512, seq 5376, length 40
13:21:53.538381 IP 192.168.1.3 > 192.168.2.4: ICMP echo reply, id 512, seq 5376, length 40
13:21:54.535842 IP 192.168.2.4 > 192.168.1.3: ICMP echo request, id 512, seq 5632, length 40
13:21:54.538058 IP 192.168.1.3 > 192.168.2.4: ICMP echo reply, id 512, seq 5632, length 40
8 packets captured
17 packets received by filter
0 packets dropped by kernel

Résultat : Aucun autre trafic ICMP en 40 sec que mes 4 ping. Mon poste client n'est pas bavard.


Test2 : TCPDUMP sur l'interface WLAN sans aucun trafic depuis le client

root@OpenWrt:~# tcpdump icmp -i vlan1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan1, link-type EN10MB (Ethernet), capture size 96 bytes
13:22:18.664511 IP 192.168.1.2 > athedsl-54814.otenet.gr: ICMP 192.168.1.2 udp port 64932 unreachable, length 54
13:22:19.629408 IP 192.168.1.2 > c-69-243-209-157.hsd1.va.comcast.net: ICMP 192.168.1.2 udp port 41170 unreachable, length 61
13:22:28.732588 IP 192.168.1.2 > athedsl-54814.otenet.gr: ICMP 192.168.1.2 udp port 64932 unreachable, length 54
13:22:34.720325 IP 192.168.1.2 > 75.117.91.6: ICMP 192.168.1.2 udp port 41170 unreachable, length 56
13:22:38.683663 IP 192.168.1.2 > athedsl-54814.otenet.gr: ICMP 192.168.1.2 udp port 64932 unreachable, length 54
5 packets captured
10 packets received by filter
0 packets dropped by kernel

Résultat : Et là, c'est le drame, tout s'enchaine, le doute m'assaille....
5 Emmissions ICMP vers des serveurs en 20sec...

Si quelque peut faire le même test pour soulager ma paramo de l'idée d'une backdoor....

[tomtom]

Pas de quoi etre parano à mon avis !

Ce sont des icmp port unreachable, qui sont envoyés parceque des paquets udp arrivent visiblement !

Ce port est peut-etre exploité par un ver ou alors des trucs genre emule, et des connexions arrivent, et comme openwrt est gentil il repond que le port n'est pas ouvert, ce qui doit pouvoir se desactiver assez simplement.

Tu peux elargir ton filtre à UDP pour vérifier que les paquets arrivent bien avant que ceux-cis ne repartent ?


t.

[tomtom]

Tiens tiens comme par hasard : http://www.piolet.com/help/howtos.html

Un soft de p2p

pas de quoi s'affoler !

t.

[Walkyrie_II]

J'avais vu ce logiciel.....

Tu peux elargir ton filtre à UDP pour vérifier que les paquets arrivent bien avant que ceux-cis ne repartent ?

mais je m'en vais faire ca quant même.

Si c'est ca, il aurait été plus secure de ne pas repondre par défault...

Merci de ta reponse

[tomtom]

Oui ce serait plus secure, mais d'un autre coté les WRT sont à la base des routeurs et pas des firewalls.
Il n'est pas illogique de repondre "icmp port unreachable" dans ces conditions

Si tu veux betonner, tu peux te construire sans soucis un script iptables, avec un -P DROP sur l'input, ça ne répondra plus

[Walkyrie_II]

Ok merci tu as raison g bien des connexions initiales venant de l'exterieur. Je m''en vais bloquer ca pour le rendre moins gentil.
Au vu du contenu aléatoire des data contenues dans la trame, j'ai eu peur d'évasion de donnée sur ICMP. Déformation, pas réfléchi...

[Walkyrie_II]

oupsss on a posté en même temps

[tomtom]

Déformation, pas réfléchi...

Oui oui je connais le problème... Z'etes tous aussi paranos au CTG ?