Forum debian-fr.org

Rechercher:

* Connexion   * M’enregistrer

* FAQ    * Rechercher

Voir les messages sans réponses | Voir les sujets actifs





Poster un nouveau sujet Répondre au sujet  Page 1 sur 1
  [ 17 messages ] 
  Sujet précédent | Voir le premier message non lu | Sujet suivant 
Auteur Message
gigix
MessagePosté: 13 Juil 2012 13:44 
Hors ligne
Nouvel utilisateur

Inscription: 13 Juil 2012 13:36
Messages: 7
Bonjour a tous,

Quelque soit le client IRC que j'utilise (teste xchat, quassel et chatzilla), il m'est impossible de me connecter sur IRC. J'utilise Debian Squeeze am64. Sur la meme machine avec la meme connexion, le tout marche sous Ubuntu 12.04.

Typiquement ce que j'obtiens avec Quassel :

[20:09:15] * Connecting to irc.ubuntu.org:6667...
[20:10:20] * Connection failure: Connection timed out
[20:10:20] * Connection failed. Cycling to next Server
[20:10:20] * Connecting to irc.debian.org:6667...
[20:13:20] * Connection failure: Connection timed out
[20:14:20] * Connection failed. Cycling to next Server
[20:14:20] * Connecting to irc.ubuntu.org:6667...
[20:15:25] * Connection failure: Connection timed out
[20:16:25] * Connection failed. Cycling to next Server
[20:16:25] * Connecting to irc.debian.org:6667...
[20:19:25] * Connection failure: Connection timed out
[20:20:25] * Connection failed. Cycling to next Server
[20:20:25] * Connecting to irc.ubuntu.org:6667...
[20:21:31] * Connection failure: Connection timed out
[20:22:31] * Connection failed. Cycling to next Server

Comment savoir ce qui ne va pas ?
Haut
 Profil  
 
syam
MessagePosté: 13 Juil 2012 13:52 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2009 16:49
Messages: 4040
Un firewall très restrictif peut-être ? Que te renvoie iptables -S ?

_________________
testing/unstable (amd64) sous KDE4
github/syam44 - De la bonne manière de poser les questions - Wiki debian-fr
Just because you're paranoid doesn't mean they aren't after you. -- J.Heller
Haut
 Profil  
 
gigix
MessagePosté: 13 Juil 2012 14:32 
Hors ligne
Nouvel utilisateur

Inscription: 13 Juil 2012 13:36
Messages: 7
syam a écrit:
Un firewall très restrictif peut-être ? Que te renvoie iptables -S ?


Code:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-N INBOUND
-N LOG_FILTER
-N LSI
-N LSO
-N OUTBOUND
-A INPUT -s 10.0.1.20/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.0.1.20/32 -p udp -j ACCEPT
-A INPUT -s 10.0.1.21/32 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 10.0.1.21/32 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -d 255.255.255.255/32 -i eth0 -j DROP
-A INPUT -d 10.0.1.255/32 -j DROP
-A INPUT -s 224.0.0.0/8 -j DROP
-A INPUT -d 224.0.0.0/8 -j DROP
-A INPUT -s 255.255.255.255/32 -j DROP
-A INPUT -d 0.0.0.0/32 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 10.0.1.183/32 -d 10.0.1.20/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 10.0.1.183/32 -d 10.0.1.20/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -s 10.0.1.183/32 -d 10.0.1.21/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 10.0.1.183/32 -d 10.0.1.21/32 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/8 -j DROP
-A OUTPUT -d 224.0.0.0/8 -j DROP
-A OUTPUT -s 255.255.255.255/32 -j DROP
-A OUTPUT -d 0.0.0.0/32 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT


Haut
 Profil  
 
syam
MessagePosté: 13 Juil 2012 14:47 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2009 16:49
Messages: 4040
Ben voilà, on dirait bien que tu l'as ta réponse... Et vu la tête de ton firewall je ne pense pas avoir besoin de t'expliquer quoi faire ni comment le faire. ;)

_________________
testing/unstable (amd64) sous KDE4
github/syam44 - De la bonne manière de poser les questions - Wiki debian-fr
Just because you're paranoid doesn't mean they aren't after you. -- J.Heller
Haut
 Profil  
 
gigix
MessagePosté: 13 Juil 2012 14:55 
Hors ligne
Nouvel utilisateur

Inscription: 13 Juil 2012 13:36
Messages: 7
syam a écrit:
Ben voilà, on dirait bien que tu l'as ta réponse... Et vu la tête de ton firewall je ne pense pas avoir besoin de t'expliquer quoi faire ni comment le faire. ;)


Je ne connais pas du tout iptables pour etre honnete. Un petit coup de main pour identifier et surtout comprendre la solution serait le bienvenu :grin:

Merci :grin:
Haut
 Profil  
 
Clochette
MessagePosté: 13 Juil 2012 15:03 
Hors ligne
Contributeur
Avatar de l’utilisateur

Inscription: 09 Jan 2009 12:55
Messages: 4447
Localisation: assis sur un caisson de basse à clavioter
gigix a écrit:
syam a écrit:
Ben voilà, on dirait bien que tu l'as ta réponse... Et vu la tête de ton firewall je ne pense pas avoir besoin de t'expliquer quoi faire ni comment le faire. ;)


Je ne connais pas du tout iptables pour etre honnete. Un petit coup de main pour identifier et surtout comprendre la solution serait le bienvenu :grin:

Merci :grin:



Il vient de où le tient dans ce cas là :think:

_________________
Can you pass the ACID test ?
--------------------------------------------------
Mieux vaut le vin d'ici que l'eau de là.
Haut
 Profil  
 
gigix
MessagePosté: 13 Juil 2012 15:06 
Hors ligne
Nouvel utilisateur

Inscription: 13 Juil 2012 13:36
Messages: 7
Firestarter maybe ?

One of the IT guys at my lab tweaked my default install using Firestarter, but it did not make my problem go away unfortunately.
Haut
 Profil  
 
syam
MessagePosté: 13 Juil 2012 15:09 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2009 16:49
Messages: 4040
gigix a écrit:
Je ne connais pas du tout iptables pour etre honnete.

Euh... :shock: Avec des règles aussi spécifiques, il a bien fallu les mettre en place. Tu as fais comment ?
Sinon sur le principe, tu es en OUTPUT DROP et le port 6667 n'est ouvert nulle part donc il faut juste l'ouvrir en sortie. Mais la manière précise de le faire va dépendre de la manière dont tu gères ton firewall habituellement...

Edit :
gigix a écrit:
Firestarter maybe ?

Oui probablement, ça expliquerait les règles exotiques. Malheureusement je ne connais pas Firestarter, donc je vais pas pouvoir t'aider beaucoup plus que simplement te dire "ouvrir le port 6667 en sortie".

_________________
testing/unstable (amd64) sous KDE4
github/syam44 - De la bonne manière de poser les questions - Wiki debian-fr
Just because you're paranoid doesn't mean they aren't after you. -- J.Heller
Haut
 Profil  
 
gigix
MessagePosté: 13 Juil 2012 15:19 
Hors ligne
Nouvel utilisateur

Inscription: 13 Juil 2012 13:36
Messages: 7
gigix a écrit:
Firestarter maybe ?

One of the IT guys at my lab tweaked my default install using Firestarter, but it did not make my problem go away unfortunately.


Ooops desole pour la reponse en Anglais, avec l'habitude du boulot. C'est pas tres poli.

Ok donc c'est bien mon iptables qui bloque tout. Je vais donc essayer d'en lire un peu plus sur le sujet et ensuite de defaire ce que Firestarter a fait. Je suppose que la configuration d'iptables est specifique a la machine et qu'il n'y a pas moyen de creer un default comme lors de l'installation si ?
Haut
 Profil  
 
syam
MessagePosté: 13 Juil 2012 15:28 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2009 16:49
Messages: 4040
Bah le firewall post-installation est simple, il se limite à tout accepter :
Code:
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

Bref, il est pas très utile. :mrgreen:

Un firewall un poil moins inutile consiste à n'autoriser que les connexions sortantes (mais sans distinction) :
Code:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -d 127.0.0.0/8 -j DROP
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state ! --state NEW -j DROP
-A INPUT -p tcp ! --syn -j DROP

Mais avant de te lancer là-dedans il faudrait déjà savoir si tes règles actuelles sont réellement utiles ou non.

_________________
testing/unstable (amd64) sous KDE4
github/syam44 - De la bonne manière de poser les questions - Wiki debian-fr
Just because you're paranoid doesn't mean they aren't after you. -- J.Heller
Haut
 Profil  
 
PascalHambourg
MessagePosté: 13 Juil 2012 18:29 
Hors ligne
Contributeur

Inscription: 18 Déc 2007 00:11
Messages: 4818
Les règles iptables en place ne sont pas simples à lire mais à moins que j'aie raté quelque chose il me semble qu'elles ne devraient pas bloquer les connexions sortantes. Je vois notamment :
Code:
-A OUTBOUND -j ACCEPT

pour tout accepter en sortie, et
Code:
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT

pour accepter les retours de connexions sortantes TCP et UDP.

En tout cas je ne vois aucune règle spécifique pour des ports particuliers à l'exception du DNS, or je suppose que les connexions autres qu'IRC (web notamment) fonctionnent.

Mais la première chose à faire, c'est bien sûr de tout désactiver pour vérifier si le problème vient bien de là.

_________________
Attention : contributeur méchant !
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.
Haut
 Profil  
 
syam
MessagePosté: 13 Juil 2012 18:42 
Hors ligne
Modérateur du forum
Avatar de l’utilisateur

Inscription: 18 Mai 2009 16:49
Messages: 4040
PascalHambourg a écrit:
Les règles iptables en place ne sont pas simples à lire mais à moins que j'aie raté quelque chose il me semble qu'elles ne devraient pas bloquer les connexions sortantes.
[...]
En tout cas je ne vois aucune règle spécifique pour des ports particuliers à l'exception du DNS, or je suppose que les connexions autres qu'IRC (web notamment) fonctionnent.

Hmm tu as raison comme toujours (allez, on va plutôt dire "souvent" histoire de t'éviter de me reprendre ;)). Ça m'apprendra à lire en diagonale. :oops:

_________________
testing/unstable (amd64) sous KDE4
github/syam44 - De la bonne manière de poser les questions - Wiki debian-fr
Just because you're paranoid doesn't mean they aren't after you. -- J.Heller
Haut
 Profil  
 
gigix
MessagePosté: 13 Juil 2012 19:20 
Hors ligne
Nouvel utilisateur

Inscription: 13 Juil 2012 13:36
Messages: 7
Ok je pense que je commence a piger comment iptables est foutu. Du coup, je l'ai remis en config d'origine "passe tout", sauvegarde le tout puis effectue un reboot. Maintenant j'obtiens:

Code:
sudo iptables -S
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT


Par contre mon probleme d'irc persiste, chatzilla ne se connecte pas, xchat me donne:

Code:
 Tcl plugin for XChat - Version 1.64
 Copyright 2002-2005 Daniel P. Stasinski
 http://www.scriptkitties.com/tclplugin/
 Tcl interface loaded
 Perl interface loaded
 Python interface loaded
* Looking up irc.ubuntu.com
* Connecting to chat.freenode.net (140.211.167.98) port 6667...
* Connection failed. Error: Network is unreachable
 Cycling to next server in Ubuntu Servers...
* Disconnected ().
* Looking up irc.ubuntu.com
* Connecting to chat.freenode.net (130.239.18.172) port 6667...
* Connection failed. Error: Network is unreachable
 Cycling to next server in Ubuntu Servers...
* Disconnected ().
* Looking up irc.ubuntu.com
* Connecting to chat.freenode.net (89.16.176.16) port 6667...
Haut
 Profil  
 
Grhim
MessagePosté: 13 Juil 2012 21:11 
Hors ligne
Vraiment, particulièrement bavard(e)!
Avatar de l’utilisateur

Inscription: 22 Juin 2008 19:50
Messages: 2750
Localisation: Haute Normandie - Paris - Vantaa
c la meme avec " ne peut établir de connexion avec le serveur à l'adresse www.debian-fr.org:8001.

ca viens pas du FW

_________________
Debian Wheezy/Sid Asus Green AMD64 Phenom IIx4 Kde4 + E17 & Kali Linux
Asus TF300T android + debian (en cours)
"ça suffit les gens pas sympa!!!" (stupeflip)
Haut
 Profil  
 
PascalHambourg
MessagePosté: 13 Juil 2012 22:02 
Hors ligne
Contributeur

Inscription: 18 Déc 2007 00:11
Messages: 4818
Grhim a écrit:
c la meme avec " ne peut établir de connexion avec le serveur à l'adresse http://www.debian-fr.org:8001

Gni ?
Grhim a écrit:
ca viens pas du FW

[Correction de ma réponse initiale]
En effet, l'erreur "Network is unreachable" indique normalement l'absence de route pour la destination, soit sur la machine source soit sur un routeur intermédiaire. La cible REJECT d'iptables peut bloquer un paquet en renvoyant le même message d'erreur, mais l'option correspondante --reject-with icmp-net-unreachable n'était pas utilisée dans les règles ci-dessus.

Contenu de la table de routage ?
Résultat de traceroute vers ces serveurs (laisser tourner jusqu'à l'erreur !N pour voir quelle adresse envoie ce message) ou d'une capture de paquets lors des tentatives de connexion ?

_________________
Attention : contributeur méchant !
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.
Haut
 Profil  
 
gigix
MessagePosté: 19 Juil 2012 18:17 
Hors ligne
Nouvel utilisateur

Inscription: 13 Juil 2012 13:36
Messages: 7
PascalHambourg a écrit:
Grhim a écrit:
c la meme avec " ne peut établir de connexion avec le serveur à l'adresse
Contenu de la table de routage ?
Résultat de traceroute vers ces serveurs (laisser tourner jusqu'à l'erreur !N pour voir quelle adresse envoie ce message) ou d'une capture de paquets lors des tentatives de connexion ?


Desole Pascal, mais je n'ai absolument rien compris a ce que tu me demandes de faire. Pour info, il m'a ete demande de regarder mon dmesg pour verifier si y'avait des rejets provenenant de mon Firewall. Malheureusement rien de tout ca.

La discussion sur Debian User Forum: http://forums.debian.net/viewtopic.php? ... 95#p444195
Haut
 Profil  
 
PascalHambourg
MessagePosté: 20 Juil 2012 00:27 
Hors ligne
Contributeur

Inscription: 18 Déc 2007 00:11
Messages: 4818
Code:
# table de routage
route -n
# ou bien
ip route

# traceroute
traceroute irc.ubuntu.com

_________________
Attention : contributeur méchant !
Pentium III 550 MHz, RAM 128 Mio, disque 4,3 Go. Debian Squeeze avec noyau Linux maison. On ne rit pas ! c'est mon nouveau serveur+routeur ADSL.
Haut
 Profil  
 
Afficher les messages postés depuis:  Trier par  
Poster un nouveau sujet Répondre au sujet  Page 1 sur 1
  [ 17 messages ] 

Index du forum » Forums d'aide » Support Debian


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

Vous ne pouvez pas poster de nouveaux sujets
Vous ne pouvez pas répondre aux sujets
Vous ne pouvez pas éditer vos messages
Vous ne pouvez pas supprimer vos messages
Vous ne pouvez pas joindre des fichiers

Rechercher:
Aller à:  
Flux RSS Flux RSS Liste des flux Liste des flux
Powered by phpBB® Forum Software © phpBB Group
Traduction par: phpBB-fr.com
SEO
[ Time : 0.081s | 15 Queries | GZIP : Off ]