Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Droper un paquet avant TTL = 0
Bonjour,
J'aurais souhaité savoir s'il était possible de paramétrer un routeur pour qu'il drop un paquet à partir d'une valeur fixée du TTL. Par exemple si je fixe cette valeur à 10, le routeur va droper tous les paquets qui ont un TTL >= 10.
Je n'ai rien trouvé sur Internet sur la possibilité de faire cela du coup je doute de la faisabilité...
Merci pour votre aide !
Sup'
Ben tous les routeurs le font déjà quand le TTL à envoyer est égal à 0 (ou, si tu préfère, le TTL reçu =1).
Je ne vois pas trop l’intérêt de faire autrement.
--- Sevyc64 ---
Parce que le partage est notre force, la connaissance sera notre victoire
Bonjour,Envoyé par sevyc64
Oui je sais bien que les routeurs le font automatiquement à 0. Mon objectif est donc de le faire plus tôt. A la valeur 10 par exemple.
Est-ce possible ? Merci
Sup'air.
Oui, c'est possible. Il suffit que tu aies suffisamment de controle sur ton routeur, c'est à dire que soit le constructeur a prévu cette possibilité, soit tu maîtrises le programme du routeur.
Sinon, il te "suffit" de mettre une machine en interruption à l'entrée/la sortie de ton réseau, et là tu pourras faire ce que tu veux.
Après, par pure curiosité, je serai très intéressé de savoir pourquoi tu veux faire ça... Tu as un VPN avec 11 éléments, et tu souhaites améliorer les perfs en supprimant les paquets qui ne sortiront pas ?
Bonjour,
Donc c'est possible super ! Cela veut dire qu'il doit y avoir un fichier de configuration dans le routeur qui s'occupe de cela. J'utilise des AP Wi-FI de type Pineapple, qui tournent donc sous OpenWRT.
Peut-être que quelqu'un a une petite idée sur quels fichiers je devrais zieuter ?
gangsoleil, j'aurais souhaité t'en dire plus sur ce projet mais ça ne sera pas possible, désolé.
Sup'air
Je ne connais pas WRT, mais je ne pense pas que le code "natif" soit prévu pour ce cas particulier. En revanche, c'est assez facile à écrire comme code.
gangsoleil,
Pourrais-tu m'en dire plus sur la façon d'écrire ce code ? Quel est le langage utilisé etc ?
Merci
Sup'air.
Tu telecharges les sources d'OpenWRT sur leur site : https://dev.openwrt.org/wiki/GetSource
Tu cherches les endroits du code dans lesquels ils se chargent du TTL. Au pif, un genre de grep -i TTL devrait peut-etre retourner des choses. Ou find . -name "*ttl*" -o -name "*TTL*" ...
Le code a l'air d'être en C, ce qui ne serait pas franchement surprenant. Mais comme dit précédemment, je ne connais pas OpenWRT.
Ensuite, tu compiles, et tu farfouilles sur leur site pour voir comment le déployer, en test bien sur. Il ne te reste plus qu'à faire des tests.
Ah, un dernier point, il faut aussi que tu considères ce que tu fais lorsque tu choisis de dropper un paquet qui a un TTL inférieur à 10 : est-ce que tu renvoies un ICMP TTL exceeded (type 11, code 0 de mémoire) ou pas...
J'ai également beaucoup de mal à comprendre la raison de cette demande. Si tu pouvais expliquer les tenant et les aboutissants, ce serait un grand pas.
Merci gangsoleil, je vais essayer de regarder ça de plus près. Sinon je peux peut-être me tourner vers les IPTables. Je viens de faire un test (sur Ubuntu) en ajoutant une règle qui DROP tous les paquets avec un TTL > 10 (soit presque 99% des paquets) et ça fonctionne très bien. Par contre sur l'AP tournant sous OpenWRT ça ne marche pas... A creuser...
Sup'air
Je viens de relire le post, et je me rends compte que j'avais lu à l'envers, c'est à dire que je pensais que tu voulais tuer les paquets dont le TTL est inférieur à 10.
Tuer les paquets dont le TTL est supérieur à 10 peut être une mesure de sécurité : tu configures tous les éléments de ton réseau pour émettre des paquets avec un TTL à 9 (par exemple), car tu sais que la route la plus longue au sein de ton réseau est de 8 (exemple toujours). Et avec une simple implémentation de drop des paquets ayant un TTL supérieur à 10, tu t'assures qu'aucun paquet ne sort de ton réseau. Tu t'assures aussi que toute machine supplémentaire non configurée pour émettre des paquets TTL<10 ne peut pas émettre.
Je ferait quelque chose comme cela :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
Merci pour votre aide.
becket, j'ai en effet utilisé la même expression que toi sur mon Linux et ça fonctionne très bien. Je dois maintenant comprendre pourquoi la même expression ne fonctionne pas sous openWRT.
Au passage, savez-vous s'il est possible d'assigner des TTL différents en fonction de la natures des packets ? Par exemple un TTL de 15 pour la voix et 20 pour la data. Est-ce que cela nécessite de taguer les packets avec des priorités, comme on peut le faire en QoS ?
Merci bien pour votre patience
Sup'air.
A - Il y a plusieurs choses qui pourraient expliquer pourquoi cela ne fonctionne pas avec openwrt
- Ton device fait office de bridge et non de routeur -> iptable ne sert strictement
- La version que tu utilises pose de soucis avec les modules TTL ( j'ai trouvé l'info en cherchant sur internet )
B - Oui, il est possible de modifier le TTL en fonction du type de trafic. Par contre, c'est se compliquer la vie inutilement... dscp existe, pourquoi ne pas l'utiliser ?
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager