ADSL-BC

[AmigaPhil]

En consultant le log du firewall interne du Sagem, je remarque quelque chose de curieux. Extrait:

Aug 3 18:46:43 2010 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 172.19.3.3:35387->130.239.17.6:80 on ppp0 [repeated 31 times, last time on Aug 3 18:46:43 2010]
Aug 3 18:46:43 2010 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 172.19.3.3:45153->129.177.13.104:80 on ppp0 [repeated 50 times, last time on Aug 3 18:46:43 2010]
Aug 3 18:36:30 2010 Outbound Traffic Blocked - NAT out failed First packet in connection is not a SYN packet: TCP 172.19.3.3:51110->134.76.12.5:80 on ppp0 [repeated 26 times, last time on Aug 3 18:36:30 2010]

J'ai changé l'IP du modem car 192.168.1.1 est déjà utilisé par mon routeur Linksys. J'utilise l'IP de l'ancienne Scarlet Box 172.19.3.1
Ce qui m'intrigue, c'est que le firewall a bloqué des paquets sortants provenant de l'adresse 172.19.3.3, or je n'ai aucun périphérique avec cet IP (mes ordinateurs, imprimante, console ont une adresse statique ou dynamique dans la région 192.168.1.x). Les ports d'origine sont aussi inhabituels (51110 ??).

Un malware/spyware ?

[AmigaPhil]

Ce qui m'intrigue, c'est que le firewall a bloqué des paquets sortants provenant de l'adresse 172.19.3.3, or je n'ai aucun périphérique avec cet IP

Oops, en vérifiant les adresses MAC, je viens de comprendre que 172.19.3.3 est l'IP donnée par le modem (via DHCP) à mon routeur. Un mystère éclairci.

Reste à comprendre l'origine de ce traffic bloqué ces 3 derniers jours.
Que veut dire "NAT out failed First packet in connection is not a SYN packet" ?
Un nslookup sur les IP de destination ne me donne pas vraiment d'indice (je n'ai pas volontairement visité ces sites, mais bon, certaines pages web activent des connections vers des tas d'autres serveurs...).

[sephiroth1395]

Est-ce que la table "LAN Servers" sur le Sagem est fort remplie ?

[Dools]

Comme tu l'as vu, ce sont des repos linux. As-tu téléchargé une distrib ou un packet linux récemment ? Il pourrait bien s'agir d'une simple erreur, sans rien de malveillant.

[AmigaPhil]

Est-ce que la table "LAN Servers" sur le Sagem est fort remplie ?

Non, elle est vide.

Comme tu l'as vu, ce sont des repos linux. As-tu téléchargé une distrib ou un packet linux récemment ?

Non. Mais maintenant que tu en parles, j'ai effectivement un système de mise-à-jour automatique pour corriger les bugs importants et les failles de sécurité. Ceci expliquerait celà.

[Dools]

M'est-avis que oui, pas d'inquiétudes donc. C'est pas le type habituel de site à gogo ou de site de "pirate", car linux n'est pas porteur .

[AmigaPhil]

Il y a aussi ce qui ressemble à un re-démarrage fréquent du firewall.
Exemple:
Aug 8 12:57:00 2010 Firewall Setup Firewall internal Firewall configuration succeeded
Aug 8 12:56:59 2010 Firewall Setup Firewall internal No IP for NAT - connections may fail [repeated 2 times, last time on Aug 8 12:56:59 2010]
Aug 8 12:56:59 2010 Firewall Setup Firewall internal Starting firewall configuration
Aug 8 12:56:20 2010 Firewall Setup Firewall internal Firewall configuration succeeded
Aug 8 12:56:20 2010 Firewall Setup Firewall internal No IP for NAT - connections may fail [repeated 4 times, last time on Aug 8 12:56:20 2010]
Aug 8 12:56:20 2010 Firewall Setup Firewall internal Starting firewall configuration

(?)

[globox3]

j'ai sans arrêt ces messages aussi. Mais si je ne constate pas de dégradations de performances vraiment notables, ça n'en reste pas moins un problème .. il semble que le firewall de la box ne tienne pas la route.