Accès depuis l'extérieur vers mon serveur perso impossible

Support Debian
#1

Hello par ici, cela faisait longtemps que je n’étais pas venu poser une question :

Il y a quelques moi de ela, je me suis monté un serveur et l’ai mis en ligne, jusqu’ici tout fonctionnait impeccablement bien jusqu’à il y a quelques jours ou j’ai commencé à avoir des symptomes étranges :

  • Impossible de se connecter (ssh / http) à ma machine en dehors de mon lien local (out tout fonctionne normalement)
  • Impossible de ping-er la machine depuis l’extérieur
  • La machine arrive à se connecter au net et à dialoguer avec d’autres machines (j’ai fait un update / upgrade aptitude sans soucis)
  • J’ai tenté de redémarrer la machine (ne trouvant pas d’explication … dans le doute je reboute) : rien n’y fait
  • J’ai redémarré ma freeboîte des fois que : même punition
  • Aux dernières nouvelles je n’ai rien installé récemment et ai laissé tourner ma config (j’ai installé un serveur bind9 pour gérer des noms sur mon lien local mais pour l’avoir coupé, au cas ou, ce n’est pas sa faute apparemment)
  • J’ai fait tourner un peu tcpdump et à ce que j’en ai vu ma machine répond au dns free
  • J’ai flushé mes règles iptables : pas mieux

Je suis un chouilla coincé là je ne vois pas du tout ce qui peut poser pb.

Question config

  • Fail2Ban (que j’ai relancé)
  • serveur apache chrooté
  • Machine : serveur maison dans un placard

Voici quelques lignes de tcpdump ou ma machine semble "causer"
vers l’extérieur (y compris avec un piratin russe manifestement)

19:00:36.594737 arp reply 192.168.0.1 is-at 00:14:6c:54:07:db (oui Unknown)
19:00:45.694699 IP 192.168.0.5.netbios-dgm > 192.168.0.255.netbios-dgm: NBT UDP PACKET(138)
19:00:45.694735 IP 192.168.0.5.netbios-dgm > 192.168.0.255.netbios-dgm: NBT UDP PACKET(138)
19:00:45.695250 IP 192.168.0.5.44855 > dns2.proxad.net.domain: 15023+ PTR? 255.0.168.192.in-addr.arpa. (44)
19:00:50.698660 IP 192.168.0.5.50577 > dns1.proxad.net.domain: 15023+ PTR? 255.0.168.192.in-addr.arpa. (44)
19:00:50.719429 IP dns1.proxad.net.domain > 192.168.0.5.50577: 15023 NXDomain 0/1/0 (93)
19:00:50.719861 IP 192.168.0.5.33354 > dns2.proxad.net.domain: 21163+ PTR? 240.40.27.212.in-addr.arpa. (44)
19:00:50.740571 IP dns2.proxad.net.domain > 192.168.0.5.33354: 21163 1/2/0 (109)
19:01:32.061861 IP spider20.yandex.ru.52447 > 192.168.0.5.www: S 2473037875:2473037875(0) win 65535 <mss 1410,nop,wscale 5,sackOK,timestamp 3464113360 0>
19:01:32.061950 IP 192.168.0.5.www > spider20.yandex.ru.52447: S 1427063709:1427063709(0) ack 2473037876 win 5792 <mss 1460,sackOK,timestamp 370682 3464113360,nop,wscale 6>

19:01:32.062545 IP 192.168.0.5.45914 > dns2.proxad.net.domain: 20167+ PTR? 25.24.88.77.in-addr.arpa. (42)
19:01:32.162848 IP dns2.proxad.net.domain > 192.168.0.5.45914: 20167 1/0/0 PTR[|domain]

19:01:35.061297 IP spider20.yandex.ru.52447 > 192.168.0.5.www: S 2473037875:2473037875(0) win 65535 <mss 1410,nop,wscale 5,sackOK,timestamp 3464116360 0>
19:01:35.061344 IP 192.168.0.5.www > spider20.yandex.ru.52447: S 1427063709:1427063709(0) ack 2473037876 win 5792 <mss 1460,sackOK,timestamp 371432 3464113360,nop,wscale 6>
19:01:36.258602 IP 192.168.0.5.www > spider20.yandex.ru.52447: S 1427063709:1427063709(0) ack 2473037876 win 5792 <mss 1460,sackOK,timestamp 371732 3464113360,nop,wscale 6>
19:01:36.596790 IP 192.168.0.5.ntp > ntp.tuxfamily.net.ntp: NTPv4, Client, length 48
19:01:36.597048 IP 192.168.0.5.42237 > dns2.proxad.net.domain: 2585+ PTR? 10.158.85.212.in-addr.arpa. (44)
19:01:36.626689 IP dns2.proxad.net.domain > 192.168.0.5.42237: 2585 1/0/0 (75)
19:01:36.628591 IP ntp.tuxfamily.net.ntp > 192.168.0.5.ntp: NTPv4, Server, length 48
19:01:37.058589 arp who-has 192.168.0.1 tell 192.168.0.5
19:01:37.058728 arp reply 192.168.0.1 is-at 00:14:6c:54:07:db (oui Unknown)

cela dit-il quelque chose à quelqu’un ? c’est vraiment quelque chose qui est arrivé du jour au lendemain donc je suis un peu perdu :-\

#2

Salut,
Yandex c’est un moteur de recherche Russe.
C’est drôle j’ai eu aussi les visites de Yandex sur mon serveur (beronono.com à l’époque) au même moment ou je me faisait pirater via le ftp…
Je serais toi j’investiguerais à fond, ta machine est probablement vérolée…
Regarde un peu ton répertoire www et vérifie que rien n’a été ajouté…

Edit : Investiguerais… pas sur de moi sur ce coup :mrgreen:

#3

Salut,

Si je comprend bien, le “lien local” c’est l’adresse 127.0.0.1 .
As tu essayé de te connecter à ton serveur en utilisant juste un câble ? Un petit réseau local quoi.

Sinon ca peut peut-être venir de Fail2Ban, je ne pense pas que le relancer suffit à effacer les adresses bannies.

#4

quand je parle de lien local je parle de mon réseau local et pas de la “boucle locale” :

J’arrive à ssh depuis une autre machine sur mon réseau local sur le serveur, j’arrive aussi à y accéder via le port 80 en http

De ce que j’en avais vu fail2ban reset sa liste d’ip bannies en se relançant, mais même si ce n’est pas le cas je viens de tenter de ssh mon serveur depuis le serveur d’un de mes potes (qui n’a aucune raison d’être banni) et cela ne fonctionne pas non plus (je timeout). Traceroute a l’air de se paumer d’ailleurs, j’arrive à des dns free puis plus rien.

Pour aire simple et résumé :
mon serveur peut se connecter au net et recevoir des données
Sur mon réseau local je peux me connecter à mon serveur et y envoyer des données ainsi qu’en recevoir (mon nfs fonctionne au poil)
Depuis l’extérieur mes tentatives de connexion pètent un timeout quelque soit le port que je cherche à atteindre (timeout ssh, http, même les ping se font jeter alors que je n’ai aucune règle pour les dropper).

Edit : ah et depuis qu’un collègue m’a apris comment rentrer dans une machine en faisant péter son ftp le peu d’envie que j’avais d’en mettre un en place s’est envolé =)

#5

firewall, box classique pour la connexion internet?

#6

box classique pour la connec et les seules règles qui me servent de firewall se trouvent dans iptables (pas d’autre soft exotique en place)

#7

Et encore une question bête mais on sait jamais, les redirections NAT de ta box,
tu est sûr qu’elles fonctionnent ?

#8

je ne me sers pas de ma box pour router, j’ai un petit routeur netgear pour ça, entre la box et tous mes équipements réseau.
Et pour ce qui est du routeur je n’ai pas touché à la conf depuis la mise en ligne de mon serveur en janvier. J’ai tout de même rejetté un oeil quand j’ai vu que je n’arrivais plus à aller sur mon serveur et je n’ai rien vu de changé :-\

#9

Alors en parlant de routeur il y avait un bidule dans tout mon dispo que je n’avais pas relancé : le routeur … maintenant j’arrive a ssh chez moi depuis l’extérieur, quelqu’un pourrait-il me dire s’il timeout en demandant grotux.fr/blog siouplé ? (si c’est ça je pense que je vais utiliser le cable ethernet du serveur pour tenter de me pendre XD)

#10

ca marche nikel :023

#11

Note pour plus tard : couper la multiprise pour faire les tests

Solution : rebooter le routeur (routeur ethernet netgear) en le débranchant / rebranchant