Re: Réseau bizarre

トップ ページ

このメッセージに返信
著者: sylvain letuffe
日付:  
To: guilde
題目: Re: Réseau bizarre
Je pense que la réponse n'est pas loin !
le problème est bien dans iptables, inutile de chercher plus loin.

A première vue, les règles m'ont l'air pas mal et donc je ne trouve pas d'où
le refus de connexion peut venir.

j'ai quand même un peu l'impression que plusieurs règles se chevauchent
un truc genre :
ACCEPT     all  --  anywhere             anywhere
puis
ACCEPT     all  --  192.168.0.0          acina.croissy.seine-et-marne.fr
ne devrait pas avoir trop d'intérêt vu qu'a la règle 1 on autorise déjà tout.


à un moment tu dis :
> À noter que si on enlève le firewall, j'ai toujours les mêmes soucis...


je soupçonne que le firewall ne "s'enlève pas correctement" et que le script
ne ré-initialise pas correctement.
Pour couper netfilter à la main, il faut un truc genre :
$ iptables -F
$ iptables -P INPUT ACCEPT
$ iptables -P OUTPUT ACCEPT
$ iptables -P FORWARD ACCEPT

le iptables -F enlève toutes les règles, mais comme sur ton firewall le "par
défaut" c'est de ne pas accepter ça donne le "ping: sendto: Operation not
permitted"


refais tes tests ensuite et ça devrait aller beaucoup mieux. Bien sûr ça ne
résoud pas ton problème, puisque ta box ne doit plus rien faire, ni firewall
ni nat.
là il faut mettre le nez dans le firewall et comprendre ce qui a pu changer et
qui fait que ça bloque

> > Je pense comme Jean-Noel, ça sent le iptables à plein nez !
> >
> > un p'tit
> > $iptables -L
> > pour qu'on se fasse une idée ?
>
>  # iptables -L
> Chain INPUT (policy DROP)
> target     prot opt source               destination
> ACCEPT     all  --  anywhere             anywhere
> ACCEPT     all  --  192.168.0.0          acina.croissy.seine-et-marne.fr
> ACCEPT     all  --  192.168.0.255        acina.croissy.seine-et-marne.fr
> ACCEPT     all  --  anywhere            
> mla78-1-82-240-19-179.fbx.proxad.net state RELATED,ESTABLISHED
> ACCEPT     tcp  --  anywhere            
> mla78-1-82-240-19-179.fbx.proxad.net tcp dpt:ssh state NEW,ESTABLISHED
> ULOG       all  --  anywhere             anywhere            ULOG
> copy_range 0 nlgroup 1 prefix `Netfilter' queue_threshold 1

>
> Chain FORWARD (policy DROP)
> target     prot opt source               destination
> ACCEPT     tcp  --  anywhere             192.168.0.0         tcp
> dpt:www state NEW,RELATED,ESTABLISHED,UNTRACKED
> ACCEPT     tcp  --  192.168.0.0          anywhere            tcp
> spt:www state RELATED,ESTABLISHED
> ACCEPT     all  --  192.168.0.0          anywhere            state
> NEW,RELATED,ESTABLISHED,UNTRACKED
> ACCEPT     all  --  anywhere             192.168.0.0         state
> RELATED,ESTABLISHED

>
> Chain OUTPUT (policy DROP)
> target     prot opt source               destination
> ACCEPT     all  --  anywhere             anywhere
> ACCEPT     all  --  acina.croissy.seine-et-marne.fr  192.168.0.0
> ACCEPT     all  --  acina.croissy.seine-et-marne.fr  192.168.0.255
> ACCEPT     all  --  mla78-1-82-240-19-179.fbx.proxad.net  anywhere    
>        state NEW,RELATED,ESTABLISHED,UNTRACKED
> ULOG       all  --  anywhere             anywhere            ULOG copy

>
>
> > sinon un ping sur le loopback ça donne quoi ?
> > $ping 127.0.0.1 ?
>
> # ping 127.0.0.1
> PING 127.0.0.1 (127.0.0.1): 56 data bytes
> 64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.6 ms
> 64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.1 ms
> 64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.1 ms
> 64 bytes from 127.0.0.1: icmp_seq=3 ttl=64 time=0.1 ms
> 64 bytes from 127.0.0.1: icmp_seq=4 ttl=64 time=0.1 ms
>
> --- 127.0.0.1 ping statistics ---
> 5 packets transmitted, 5 packets received, 0% packet loss
> round-trip min/avg/max = 0.1/0.2/0.6 ms
>
> >
> > un ping sur l'interface elle même ?
> > $ping 192.168.0.soit-meme
>
> # ping 192.168.0.1
> PING 192.168.0.1 (192.168.0.1): 56 data bytes
> 64 bytes from 192.168.0.1: icmp_seq=0 ttl=64 time=0.2 ms
> 64 bytes from 192.168.0.1: icmp_seq=1 ttl=64 time=0.1 ms
> 64 bytes from 192.168.0.1: icmp_seq=2 ttl=64 time=0.1 ms
> 64 bytes from 192.168.0.1: icmp_seq=3 ttl=64 time=0.1 ms
> 64 bytes from 192.168.0.1: icmp_seq=4 ttl=64 time=0.1 ms
>
> --- 192.168.0.1 ping statistics ---
> 5 packets transmitted, 5 packets received, 0% packet loss
> round-trip min/avg/max = 0.1/0.1/0.2 ms
>
> > la même chose après un iptables -F
>
> # iptables -F
> root-/home/mk/A
> # ping 192.168.0.1
> PING 192.168.0.1 (192.168.0.1): 56 data bytes
> ping: sendto: Operation not permitted
> ping: wrote 192.168.0.1 64 chars, ret=-1
> ping: sendto: Operation not permitted
> ping: wrote 192.168.0.1 64 chars, ret=-1
> ping: sendto: Operation not permitted
> ping: wrote 192.168.0.1 64 chars, ret=-1
> ping: sendto: Operation not permitted
> ping: wrote 192.168.0.1 64 chars, ret=-1
>
> --- 192.168.0.1 ping statistics ---
> 4 packets transmitted, 0 packets received, 100% packet loss
>
> À noter que si on enlève le firewall, j'ai toujours les mêmes soucis...
>
> PK
>
> --
>       |\      _,,,---,,_       Patrice KARATCHENTZEFF
> ZZZzz /,`.-'`'    -.  ;-;;,_   mailto:p.karatchentzeff@free.fr
>      |,4-  ) )-,_. ,\ (  `'-'  http://p.karatchentzeff.free.fr
>     '---''(_/--'  `-'\_)

>
>


--


Sylvain Letuffe, Société GPLservice

Hébergement, nom de domaine, développement logiciel,
services de maintenance informatique.
web : http://www.gplservice.fr

Tel : 04 79 33 08 74               Fax : 04 79 70 81 97
adresse : 20 av des ducs de Savoie 73000 Chambéry