NO surf on google et MS.com [La Suite] - Sécurité - Windows & Software
Marsh Posté le 13-10-2004 à 09:18:24
Je n'ai rien compris. en particulier à cette histoire de routeur qui fait DNS.
C'est un problème de Firewall ou de DNS?
Marsh Posté le 13-10-2004 à 13:23:09
Effectivement, c'est pas evident forcément à déterminer.
Le routeur à une fonction de proxy DNS qui optimise la navigation: donc dans les paramètres réseau du poste client, les adresses IP DNS (1 seule ici) sont celle du routeur (192.168.1.1)
Je surfe sur google si j'autorise dans le firewall toutes adresses IP en "retour" sur le port 53 .. Je ne surfe plus sur google si je maintiens mon adresse proxyDNS 192.168.1.1 port[53] dans mon firewall
Difficile de dire que c'est le proxyDNS du routeur qui ne fait pas son job juste pour google
reste l'explication que google retourne des trames "non conforme" sur la requête de connexion et "bypass" le ProxyDNS du routeur en maintenant son adresse serveur sur la requête retour.. évidemment bloqué par le firewall.
J'espère avoir été un peu plus clair
Marsh Posté le 13-10-2004 à 14:39:18
le MTU est compris sur une plage 1000~1500 (il affichait 1442 au moment du telnet)..
pourquoi ? si les datagrams sont plus gros que 1500b ça ne serait pas pris en compte par le routeur et me renverrait le paquet directement ?
Marsh Posté le 21-10-2004 à 20:21:08
Bon un peu plus d'info mais qui m'amène pas de réponse encore.. les trames prises avec Ethereal:
http://serveur.levillage.org/eth1.gif
sur la trame de retour (la trame 6):
Frame 6 (545 bytes on wire, 545 bytes captured)
Internet Protocol, Src Addr: 80.10.246.3 (80.10.246.3), Dst Addr: 192.168.1.45 (192.168.1.45)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
Total Length: 531
Identification: 0x0000 (0)
Flags: 0x04 (Don't Fragment)
Fragment offset: 0
Time to live: 58
Protocol: UDP (0x11)
Header checksum: 0x36f7 (correct)
Source: 80.10.246.3 (80.10.246.3)
Destination: 192.168.1.45 (192.168.1.45)
User Datagram Protocol, Src Port: domain (53), Dst Port: 1043 (1043)
Source port: domain (53)
Destination port: 1043 (1043)
Length: 511
Checksum: 0xc881 (correct)
Domain Name System (response)
Transaction ID: 0x0009
Flags: 0x8180 (Standard query response, No error)
Questions: 1
Answer RRs: 4
Authority RRs: 11
Additional RRs: 10
Queries
www.google.fr: type A, class inet
Name: www.google.fr
Type: Host address
Class: inet
Answers
www.google.fr: type CNAME, class inet, cname www.google.com
Name: www.google.fr
Type: Canonical name for an alias
Class: inet
Time to live: 3 days, 21 hours, 30 minutes, 9 seconds
Data length: 16
Primary name: www.google.com
www.google.com: type CNAME, class inet, cname www.google.akadns.net
Name: www.google.com
Type: Canonical name for an alias
Class: inet
Time to live: 9 minutes, 59 seconds
Data length: 23
Primary name: www.google.akadns.net
www.google.akadns.net: type A, class inet, addr 66.102.11.104
Name: www.google.akadns.net
Type: Host address
Class: inet
Time to live: 10 seconds
Data length: 4
Addr: 66.102.11.104
www.google.akadns.net: type A, class inet, addr 66.102.11.99
Name: www.google.akadns.net
Type: Host address
Class: inet
Time to live: 10 seconds
Data length: 4
Addr: 66.102.11.99
Authoritative nameservers
akadns.net: type NS, class inet, ns asia3.akam.net
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 13
Name server: asia3.akam.net
akadns.net: type NS, class inet, ns za.akadns.org
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 15
Name server: za.akadns.org
akadns.net: type NS, class inet, ns zc.akadns.org
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 5
Name server: zc.akadns.org
akadns.net: type NS, class inet, ns zf.akadns.org
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 5
Name server: zf.akadns.org
akadns.net: type NS, class inet, ns zh.akadns.org
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 5
Name server: zh.akadns.org
akadns.net: type NS, class inet, ns eur3.akam.net
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 7
Name server: eur3.akam.net
akadns.net: type NS, class inet, ns use2.akam.net
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 7
Name server: use2.akam.net
akadns.net: type NS, class inet, ns use4.akam.net
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 7
Name server: use4.akam.net
akadns.net: type NS, class inet, ns usw5.akam.net
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 7
Name server: usw5.akam.net
akadns.net: type NS, class inet, ns usw6.akam.net
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 7
Name server: usw6.akam.net
akadns.net: type NS, class inet, ns usw7.akam.net
Name: akadns.net
Type: Authoritative name server
Class: inet
Time to live: 1 day, 21 hours, 30 minutes, 9 seconds
Data length: 7
Name server: usw7.akam.net
Additional records
za.akadns.org: type A, class inet, addr 208.185.132.176
Name: za.akadns.org
Type: Host address
Class: inet
Time to live: 4 hours, 32 minutes, 17 seconds
Data length: 4
Addr: 208.185.132.176
zc.akadns.org: type A, class inet, addr 63.241.199.54
Name: zc.akadns.org
Type: Host address
Class: inet
Time to live: 2 hours, 50 minutes, 9 seconds
Data length: 4
Addr: 63.241.199.54
zf.akadns.org: type A, class inet, addr 63.241.29.161
Name: zf.akadns.org
Type: Host address
Class: inet
Time to live: 4 hours, 32 minutes, 17 seconds
Data length: 4
Addr: 63.241.29.161
zh.akadns.org: type A, class inet, addr 63.208.48.46
Name: zh.akadns.org
Type: Host address
Class: inet
Time to live: 2 hours, 50 minutes, 9 seconds
Data length: 4
Addr: 63.208.48.46
eur3.akam.net: type A, class inet, addr 193.45.1.103
Name: eur3.akam.net
Type: Host address
Class: inet
Time to live: 2 hours, 56 minutes, 7 seconds
Data length: 4
Addr: 193.45.1.103
use2.akam.net: type A, class inet, addr 63.209.170.136
Name: use2.akam.net
Type: Host address
Class: inet
Time to live: 2 hours, 52 minutes, 56 seconds
Data length: 4
Addr: 63.209.170.136
use4.akam.net: type A, class inet, addr 80.67.67.182
Name: use4.akam.net
Type: Host address
Class: inet
Time to live: 2 hours, 56 minutes, 7 seconds
Data length: 4
Addr: 80.67.67.182
usw5.akam.net: type A, class inet, addr 63.241.73.214
Name: usw5.akam.net
Type: Host address
Class: inet
Time to live: 2 hours, 52 minutes, 56 seconds
Data length: 4
Addr: 63.241.73.214
usw6.akam.net: type A, class inet, addr 206.132.100.108
Name: usw6.akam.net
Type: Host address
Class: inet
Time to live: 2 hours, 56 minutes, 8 seconds
Data length: 4
Addr: 206.132.100.108
usw7.akam.net: type A, class inet, addr 65.203.234.27
Name: usw7.akam.net
Type: Host address
Class: inet
Time to live: 2 hours, 56 minutes, 7 seconds
Data length: 4
Addr: 65.203.234.27
sur l'image,
mon IP est 192.168.1.45
celle du routeur 192.168.1.1
80.10.246.3 ets une IP ne correspondant pas à l'IP publique routeur, donc je suppose une IP des serveurs de Akamai ?
en on est loin des 1500 bytes du MTU possible si je ne me trompe et le pacquet n'est pas fragmenté..
Quelqu'un voit ?
Marsh Posté le 12-10-2004 à 00:14:25
C'est la suite d'un topic pour lequel je n'avais pas trouvé d'explication sauf un début grâce à "pnar".
C'est assez simple après reflexion..
Le proxyDNS est activé sur le Routeur, ainsi dans mes paramétrages réseau de mon portable, les adresses IP DNS sont celles du routeur (198.162.1.1)
(Ca fonctionne bien, on peut surfer partout.)
1/J'ai deux règles de sécurité très simple dans Kerio pour les DNS:
en "sortant" : UDP
Local: tous ports
distant : 192.168.1.1 [53]
appli > c:\winnt\system32\services.exe
en "entrant" : UDP
Local: tous ports
distant : 192.168.1.1 [53]
appli > c:\winnt\system32\services.exe
Je peux ici surfer sur tous les sites SAUF Google (Microsoft est devenu possible car ils ont, dirait-on changé d'hebergeur)
google.fr est hébergé par akamaï (ou l'était encore il y a peu), donc on voyait apparaître www.google.akadns.net dans les connexions..
En "Sortant", il n'y a pas de problème, la requête trouve bien le serveur de Google.. (donc requête envoyé au DNS routeur qui renvoit ensuite sur les serveurs DNS Publics, puis sur le serveur hebergeant google) mais c'est ici que je ne comprends pas:
.. sur le retour de la requête, Akamaï semble faire fi du routeur, et au lieu de retourner la requête sur celui-ci qui me la transmettrait ensuite, le "bypass" pour me l'adresser directement :
on voit dans le log de Kerio:
"entrant" distant: pop2-q.free.fr [80.10.246.3] [53] vers localhost (mon portable)[2027] avec la bonne aplli signé c:\winnt\system32\services.exe !!!
comment s'y prennent'ils pour faire ce "bypass" ?
Message édité par serveur le 13-10-2004 à 13:23:50