Le 9 sept. 2023 à 11:55, ANSART David <david.ansart@seineetmarne.cci.fr> a écrit :

Bonjour

Attention, je pense que ces 2 lignes n'ont aucun rapport l'une avec l'autre.
La 1ère ligne est bien une requête ICMP.
La 2ème ligne ("IP_PUBLIQUE_MAISON ICMP 106 Destination unreachable (Port unreachable)") est une trame d'erreur en réponse à une requête UDP précédente reçue sur un port fermé.

Le filtrage tshark est trop restrictif pour bien voir ce qu'il se passe.

David

Dr David ANSART
Formateur en Informatique :
Réseau Système Cybersécurité Développement C/C++
https://github.com/Raizo62

david.ansart@seineetmarne.cci.fr
+33 1 60 37 41 11
CFA UTEC INT (https://www.utec77.fr)
6 Boulevard Olof Palme CS 60150 Émerainville
77436 Marne-la-Vallée CEDEX 2

De : Romain <romain@borezo.info>
Envoyé : jeudi 7 septembre 2023 23:38
À : Dominique Rousseau <d.rousseau@nnx.com>
Cc : frsag@frsag.org <frsag@frsag.org>
Objet : [FRsAG] Re: Debian 12 - Blocage IPv4 sans fail2ban & co

Vous ne recevez pas souvent de courriers de la part de romain@borezo.info. Découvrez pourquoi cela est important
Je confirme que quand ça tombe, c'est le serveur OVH qui ne parvient pas à envoyer la réponse à mon réseau.

35 9.862648672 IP_PUBLIQUE_MAISON → 54.38.38.159 ICMP 78 Echo (ping) request id=0x4b30, seq=33150/32385, ttl=1
36 9.862704895 54.38.38.159 → IP_PUBLIQUE_MAISON ICMP 106 Destination unreachable (Port unreachable)

MTR du serveur OVH vers chez moi :
Start: 2023-09-07T23:30:08+0200
HOST: rbx Loss% Snt Last Avg Best Wrst StDev
1.|-- 54.38.38.252 0.0% 10 0.6 0.5 0.3 0.7 0.1
2.|-- 10.162.250.98 0.0% 10 0.9 0.5 0.4 0.9 0.1
3.|-- 10.72.52.32 0.0% 10 0.5 0.5 0.4 0.7 0.1
4.|-- 10.73.17.42 0.0% 10 0.2 0.2 0.1 0.3 0.0
5.|-- 10.95.64.152 0.0% 10 1.1 1.2 1.1 1.5 0.1
6.|-- 54.36.50.226 0.0% 10 4.4 4.4 4.2 4.7 0.2
7.|-- 10.200.2.73 0.0% 10 78.0 11.6 4.1 78.0 23.4
8.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0

Le jeu. 7 sept. 2023 à 10:42, Romain <romain@borezo.info> a écrit :
Huuuum, effectivement pour l'instant depuis une autre machine branchée sur le même switch, impossible à reproduire.

romain@debian-dns:~$ mtr -nr 54.38.38.159
Start: 2023-09-07T10:41:40+0200
HOST: debian-dns Loss% Snt Last Avg Best Wrst StDev
1.|-- 192.168.0.1 0.0% 10 0.5 0.8 0.5 1.6 0.3
2.|-- 80.10.239.9 0.0% 10 5.7 3.4 2.6 6.6 1.4
3.|-- 193.253.80.138 0.0% 10 2.6 3.1 2.5 5.5 0.9
4.|-- 193.252.98.94 0.0% 10 3.0 3.4 3.0 4.3 0.4
5.|-- 193.252.98.101 0.0% 10 3.3 3.2 2.8 3.4 0.2
6.|-- 91.121.131.193 0.0% 10 3.7 5.8 2.8 25.7 7.0
7.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
8.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
9.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
10.|-- 54.36.50.229 0.0% 10 7.7 7.6 7.1 9.9 0.8
11.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
12.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
13.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
14.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
15.|-- 54.38.38.159 0.0% 10 7.4 7.1 6.6 8.1 0.5

A surveiller, merci pour la piste. Bon après depuis cet appareil, quand l'IPv4 ne répond plus, ça répond plus depuis tout mon réseau (VM Linux, ordinateur Windows, iOS en Wi-Fi et forcé en IPv4, ...).

Le jeu. 7 sept. 2023 à 10:29, Dominique Rousseau <d.rousseau@nnx.com> a écrit :
Le Thu, Sep 07, 2023 at 10:19:37AM +0200, Romain [romain@borezo.info] a écrit:
> C'est 192.168.0.2, l'IP de mon RPI4.

Et tut as un autre "poste" depuis lequel tu pourrais faire le meme
traceroute, quand ca "marche pas" ?
C'est pour chercher si par hasard c'est un equipement OVH qui emet un
icmp avec cette ip la, quand c'est bloque, ou si c'est ton rpi, pour une
raison non determinee.

>
> ??????# mtr -nr 54.38.38.159 -4
> Start: 2023-09-07T08:17:12+0000
> HOST: rpi4 Loss% Snt Last Avg Best Wrst StDev
> 1.|-- 192.168.0.1 0.0% 10 1.1 0.9 0.5 1.3 0.3
> 2.|-- 80.10.239.9 0.0% 10 3.2 3.3 2.3 5.3 0.9
> 3.|-- 193.253.80.138 0.0% 10 4.5 4.0 2.2 6.0 1.2
> 4.|-- 193.252.98.94 0.0% 10 3.4 4.3 3.1 12.2 2.8
> 5.|-- 193.252.98.101 0.0% 10 3.5 3.4 2.9 3.6 0.2
> 6.|-- 91.121.131.193 0.0% 10 4.0 12.4 3.7 82.6 24.7
> 7.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
> 8.|-- ??? 100.0 10 0.0 0.0 0.0 0.0 0.0
> 9.|-- 192.168.0.2 90.0% 10 3461. 3461. 3461. 3461. 0.0
>

--
Dominique Rousseau
Neuronnexion, Prestataire Internet & Intranet
6 rue des Hautes cornes - 80000 Amiens
tel: 03 22 71 61 90 - fax: 03 22 71 61 99 - http://www.neuronnexion.coop
_______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/
Ce message et toutes les pièces jointes sont confidentiels et/ou couverts par le secret professionnel et transmis à l'intention exclusive de ses destinataires. Toute modification, édition, utilisation ou diffusion non autorisée est interdite. Si vous avez reçu ce message par erreur, merci d'en informer son émetteur ou le signaler à cpdp@cci-paris-idf.fr. La CCI Paris-IdF décline toute responsabilité au titre de ce message s'il a été altéré, déformé, falsifié ou encore édité ou diffusé sans autorisation. Si l'objet de ce message est indiqué comme "privé", son contenu est sous la seule responsabilité de son auteur. _______________________________________________
Liste de diffusion du %(real_name)s
http://www.frsag.org/