[Résolu]Réseau Local - Le Forum de Génération Nouvelles Technologies

sebastienw · 19/04/2004, 19h09

Bonjour à tous,

J'ai un LAN au boulot composé de trois groupes de travail.
Premier groupe avec une seule machine sous Windows 2003 serveur.
Second groupe avec un poste Win2000 et un serveur NT4.
Troisième groupe avec environ 25 machines Win2000, 2 machines WinME, une seule machine WinXP pro, un serveur Windows 2000 et deux serveurs linux.

Mon problème concerne le troisième groupe de travail.

Je suis administrateur du réseau avec un portable Acer 1703 IP 192.168.254.37 (la machine sous XP pro). Je n'arrive pas à pinger les machines 192.168.254.121 (win2000), 192.168.254.122 (win2000) et 192.168.254.154 (winMe).

Aucun problème avec par exemple les serveurs Win (192.168.254.2) et Linux (.3 et .4) qui sont juste à côté de moi et qui sont rattachés au même switch. Si je veux donc faire du VNC, la solution temporaire est de faire du port forwarding avec les machines linux, pas très pratique quoi.

Est-ce que quelqu'un peut m'éclairer car je suis complétement perdu là. Les pings vers mon XP dans l'autre sens ne passent pas non plus. Il faut savoir que la machine .121 et .154 passent par de la fibre optique (cela n'a rien à voir à mes yeux vu que les machines savent pinger les serveurs). La machine .122 est connectée sur la même armoire que mon poste.

Serait-ce mon XP qui est allergique aux rangées .12x et .15x ? Car je sais pinger les .131, .132 et .133 et tout le reste apparemment.

Je penche pour un problème soft, le hard fonctionne sans prob.

Vous en pensez quoi ?

Merci d'avance pour les conseils !

Le_Prof · 19/04/2004, 21h48

Bonsoir,

Sur le portable:

Dans les propriétés tcp/ip de la carte réseau, avancés, volet: options, vérifie s'il n'y a pas de filtrage actif.

Eventuellement vérifie si le firewall est actif sur la carte réseau aussi.

Sinon c'est louche.

sebastienw · 19/04/2004, 23h35

Citation:

Originally posted by Le_Prof@19 Apr 2004 20:48
Bonsoir,

Sur le portable:

Dans les propriétés tcp/ip de la carte réseau, avancés, volet: options, vérifie s'il n'y a pas de filtrage actif.

Eventuellement vérifie si le firewall est actif sur la carte réseau aussi.

Sinon c'est louche.

Bonsoir,

Pas de filtrage TCP/IP..
Pas de firewall activé...

Oui.. c'est louche

Merci pour la réponse

Syrcam · 19/04/2004, 23h35

Je suis pas un grand expert mais...y'aurais pas un pb dans le config IP ?
Je pense notemment au masque de sous rezo...

Bon courage !

Syrc@m.

sebastienw · 19/04/2004, 23h36

Je réponds moi-même à mon post mais je vais essayer demain de changer d'IP pour voir si c'est spécifique à la bécane ou à l'IP...

sebastienw · 20/04/2004, 00h29

Citation:

Originally posted by Syrcam@19 Apr 2004 22:35
Je suis pas un grand expert mais...y'aurais pas un pb dans le config IP ?
Je pense notemment au masque de sous rezo...

Bon courage !

Syrc@m.

Aucun problème :

Adresse IP. . . . . . . . . . . . : 192.168.254.37
Masque de sous-réseau . . . . . . : 255.255.255.0
Passerelle par défaut . . . . . . : 192.168.254.1

Par contre je viens de découvrir quelque chose (qui n'arrange rien pour l'instant mais bon..)

J'ai découvert deux adresses IP externe dans la table de routage du portable..

Itinéraires actifs :
Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique
0.0.0.0 0.0.0.0 192.168.254.1 192.168.254.37 1
81.185.145.161 255.255.255.255 192.168.254.1 192.168.254.37 1
81.185.194.108 255.255.255.255 192.168.254.1 192.168.254.37 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.254.0 255.255.255.0 192.168.254.37 192.168.254.37 20
192.168.254.37 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.254.255 255.255.255.255 192.168.254.37 192.168.254.37 20
224.0.0.0 240.0.0.0 192.168.254.37 192.168.254.37 20
255.255.255.255 255.255.255.255 192.168.254.37 192.168.254.37 1
Passerelle par défaut : 192.168.254.1

Je me suis empressé de les supprimer..
Quelqu'un a l'expérience de ce genre de situation ? Hack, spoof,.. ? Est-ce qu'un programme peut modifier la table de routage lors de son installation ?

Ces adresses proviennent d'un ISP français..

En attendant, je fais des recherches sur le net..

Merci

Kikof · 20/04/2004, 09h16

Salut,

Aussi étrange que puisse paraître ces entrées, elles ne constituent pas un moyen de hack. Elles indiquent que pour ces adresses précises (puisque le masque est 255.255.255.255) il faut emprunter la passerelle 192.168.254.1 de l'interface 192.168.254.37 (la carte réseau en question quoi). Ceci est tout à fait redondant avec la première ligne qui est le chemin par défaut. Le reste me semble par ailleurs normal.

Peut être faudrait-il aussi se pencher sur la configuration des trois machines qui ne répondent pas (2000 et Me).

sebastienw · 20/04/2004, 10h04

Citation:

Originally posted by Kikof@20 Apr 2004 08:16
Salut,

Aussi étrange que puisse paraître ces entrées, elles ne constituent pas un moyen de hack. Elles indiquent que pour ces adresses précises (puisque le masque est 255.255.255.255) il faut emprunter la passerelle 192.168.254.1 de l'interface 192.168.254.37 (la carte réseau en question quoi). Ceci est tout à fait redondant avec la première ligne qui est le chemin par défaut. Le reste me semble par ailleurs normal.

Peut être faudrait-il aussi se pencher sur la configuration des trois machines qui ne répondent pas (2000 et Me).

Je croyais en une attaque de type IP spoofing, il est apparemment possible (bien que ça ait l'air complexe à mettre en oeuvre) qu'une machine de l'extérieur, grâce à cette table de routage modifiée, se fasse passer pour une machine de notre réseau local, ayant une adresse de type 192.168.254.xxx. Le but est de faire croire que la machine de l'attaquant fait partie du réseau local, il faut dès lors rendre hors service la machine réellement dans le LAN qui possède l'IP en question. Soit par flood, soit par un autre moyen mais pas beaucoup plus simple. Très difficile quoi.

Mais c'est alors là que j'en reviens à mes graphes SNMP qui m'ont montré une pointe à 10 Mbits (quoiqu'il en faut plus en local) sur tous les postes mardi passé.. Je suis peut-être alarmiste mais j'essaie de comprende..

Suite à la suppression des deux adresses "publiques" de la table de routage, je n'avais plus d'accès au voisinage réseau. Après un reboot, tout refonctionnait.

J'ai alors tenté de changer d'IP avec reboot, même problème, les hôtes 121, 122 et 154 sont toujours indisponibles..

Merci des réponses, je continue mes recherches.. si vous avez une idée elle est la bienvenue

Kikof · 20/04/2004, 10h18

Citation:

Je croyais en une attaque de type IP spoofing, il est apparemment possible (bien que ça ait l'air complexe à mettre en oeuvre) qu'une machine de l'extérieur, grâce à cette table de routage modifiée, se fasse passer pour une machine de notre réseau local, ayant une adresse de type 192.168.254.xxx. Le but est de faire croire que la machine de l'attaquant fait partie du réseau local, il faut dès lors rendre hors service la machine réellement dans le LAN qui possède l'IP en question. Soit par flood, soit par un autre moyen mais pas beaucoup plus simple. Très difficile quoi.

Hum... Je ne suis pas convaincu de la faisabilité de la chose et en tout cas pas avec les entrées telles qu'elles étaient dans ta table.

PS: Ceux qui sauraient comment faire sont priés de ne pas se manifester (cf. charte)

Merville_ZOO · 20/04/2004, 11h17

tu arrive à pinger depuis les machines clients?

19/04/2004, 21h48	#2 (permalink)
Le_Prof Le gentil Date d'inscription: février 2002 Localisation: Charleroi - Belgique Messages: 9 145 Pouvoir de réputation: 10	Bonsoir, Sur le portable: Dans les propriétés tcp/ip de la carte réseau, avancés, volet: options, vérifie s'il n'y a pas de filtrage actif. Eventuellement vérifie si le firewall est actif sur la carte réseau aussi. Sinon c'est louche. __________________ Cordialement, Le_Prof. Lisez les faq... Stats IRC *Les informaticiens, c'est comme les canards. Ca parait calme en surface, mais ça pédale comme un malade par en dessous !*

19/04/2004, 23h35	#4 (permalink)
Syrcam Novice Date d'inscription: février 2004 Messages: 28 Pouvoir de réputation: 0	Je suis pas un grand expert mais...y'aurais pas un pb dans le config IP ? Je pense notemment au masque de sous rezo... Bon courage ! Syrc@m. __________________ Syrc@m ---------------------------- http://www.syrcam.com ----------------------------

20/04/2004, 09h16	#7 (permalink)
Kikof Informaticien du dimanche Date d'inscription: mars 2003 Localisation: Autrefois, on appelait cela Europe Messages: 7 004 Pouvoir de réputation: 386	Salut, Aussi étrange que puisse paraître ces entrées, elles ne constituent pas un moyen de hack. Elles indiquent que pour ces adresses précises (puisque le masque est 255.255.255.255) il faut emprunter la passerelle 192.168.254.1 de l'interface 192.168.254.37 (la carte réseau en question quoi). Ceci est tout à fait redondant avec la première ligne qui est le chemin par défaut. Le reste me semble par ailleurs normal. Peut être faudrait-il aussi se pencher sur la configuration des trois machines qui ne répondent pas (2000 et Me). __________________ Turn the page, the question lies between the lines Will we, will you... Can we, can you, can we change? - Symphony X -

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email
Modes d'affichage
Mode linéaire Choisir le mode hybride Choisir le mode arborescent

19/04/2004, 19h09	#1 (permalink)
sebastienw Débutant Date d'inscription: février 2004 Localisation: Mons, BE Messages: 71 Pouvoir de réputation: 0	Bonjour à tous, J'ai un LAN au boulot composé de trois groupes de travail. Premier groupe avec une seule machine sous Windows 2003 serveur. Second groupe avec un poste Win2000 et un serveur NT4. Troisième groupe avec environ 25 machines Win2000, 2 machines WinME, une seule machine WinXP pro, un serveur Windows 2000 et deux serveurs linux. Mon problème concerne le troisième groupe de travail. Je suis administrateur du réseau avec un portable Acer 1703 IP 192.168.254.37 (la machine sous XP pro). Je n'arrive pas à pinger les machines 192.168.254.121 (win2000), 192.168.254.122 (win2000) et 192.168.254.154 (winMe). Aucun problème avec par exemple les serveurs Win (192.168.254.2) et Linux (.3 et .4) qui sont juste à côté de moi et qui sont rattachés au même switch. Si je veux donc faire du VNC, la solution temporaire est de faire du port forwarding avec les machines linux, pas très pratique quoi. Est-ce que quelqu'un peut m'éclairer car je suis complétement perdu là. Les pings vers mon XP dans l'autre sens ne passent pas non plus. Il faut savoir que la machine .121 et .154 passent par de la fibre optique (cela n'a rien à voir à mes yeux vu que les machines savent pinger les serveurs). La machine .122 est connectée sur la même armoire que mon poste. Serait-ce mon XP qui est allergique aux rangées .12x et .15x ? Car je sais pinger les .131, .132 et .133 et tout le reste apparemment. Je penche pour un problème soft, le hard fonctionne sans prob. Vous en pensez quoi ? Merci d'avance pour les conseils !

19/04/2004, 23h36	#5 (permalink)
sebastienw Débutant Date d'inscription: février 2004 Localisation: Mons, BE Messages: 71 Pouvoir de réputation: 0	Je réponds moi-même à mon post mais je vais essayer demain de changer d'IP pour voir si c'est spécifique à la bécane ou à l'IP...

20/04/2004, 11h17	#10 (permalink)
Merville_ZOO Débutant Date d'inscription: avril 2004 Messages: 75 Pouvoir de réputation: 0	tu arrive à pinger depuis les machines clients?