Probleme de réseau

Bonjour à tous,
j’ai décider de me faire mon petit serveur perso avec debian, mais je suis confronté a un petit problème réseau …
lorsque je fais :

srv1:~# apt-get update
Err http://ftp.fr.debian.org lenny Release.gpg
  Erreur temporaire de résolution de « ftp.fr.debian.org »

donc j’ai cherché dans les forums et donc il me semble que la connexion a internet est inexistante, du coup j’ai fais :

srv1:~# ping http://www.google.fr
ping: unknown host http://www.google.fr
srv1:~#

Bon la réponse est claire j’ai bien un problème avec mon interface réseau.
Pour information j’ai juste fait une install standard sans rien pas d’interface, pas de mode serveur même pas de ssh juste la debian de base …

bon j’ai continué mes recherches est j’ai vu que le problème pouvait venir du fichier /etc/resolv.conf voici son contenu :

nameserver 212.27.53.252
nameserver 212.27.54.252

qui sont bien les dns de free car je viens de les modifier, mais si je fais :

srv1:~# /etc/init.d/networking restart

j’ai :

[code]Reconfiguring network interfaces…There is already a pid file /var/run/dhclient.eth1.pid with pid 2443
killed old client process, removed PID file
Internet Systems Consortium DHCP Client V3.1.1
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

Listening on LPF/eth1/00:40:ca:4a:48:27
Sending on LPF/eth1/00:40:ca:4a:48:27
Sending on Socket/fallback
DHCPRELEASE on eth1 to 192.168.0.254 port 67
send_packet: Operation not permitted
Internet Systems Consortium DHCP Client V3.1.1
Copyright 2004-2008 Internet Systems Consortium.
All rights reserved.
For info, please visit http://www.isc.org/sw/dhcp/

Listening on LPF/eth1/00:40:ca:4a:48:27
Sending on LPF/eth1/00:40:ca:4a:48:27
Sending on Socket/fallback
DHCPDISCOVER on eth1 to 255.255.255.255 port 67 interval 3
DHCPOFFER from 192.168.0.254
DHCPREQUEST on eth1 to 255.255.255.255 port 67
DHCPACK from 192.168.0.254
bound to 192.168.0.10 – renewal in 380906 seconds.
done.
[/code]
ce qui est marrant c’est que maintenant si je fait : cat /etc/resolv.conf

srv1:~# cat /etc/resolv.conf
nameserver 212.27.40.240
nameserver 212.27.40.241

ça a changer …
sinon j’ai lu que ca pouvait venir de : /etc/network/interface voici son contenu

srv1:/etc/network# cat interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth1
allow-hotplug eth1
iface eth1 inet dhcp

tout en sache que eth1 est bien ma carte réseau car je ping bien mon routeur, j’utilise le dhcp par contre sur la freebox j’ai fait un filtrage par adresse mac pour qu’elle est automatiquement l’adresse ip 192.168.0.10 afin qu’elle soit dans la DMZ.

Et voici le fichier /etc/networks :

srv1:/etc/network# ls
if-down.d  if-post-down.d  if-pre-up.d  if-up.d  interfaces  run
srv1:/etc/network# cat interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth1
allow-hotplug eth1
iface eth1 inet dhcp
srv1:/etc/network#
srv1:/etc/network# cat /etc/networks
default         0.0.0.0
loopback        127.0.0.0
link-local      169.254.0.0

Merci par avance de votre aide.

Bonjour,

Les DNS de Free sont :

212.27.40.240 212.27.40.241

free.fr/assistance/260-freeb … e-dns.html

donc du coup mes dns sont bon, mais lorsque je ping google j’ai toujours :

srv1:~# ping http://www.google.fr
ping: unknown host http://www.google.fr

pour faire de la resolution dns, encore faut il les voir, les serveurs dns …
essaye deja de faire un ping sur les deux serveurs dns de free
si ça ne fonctionne pas envoie un traceroute dessus

poste ici les resultats et aussi le contenu de la commande route -n (depuis le compte root)

merci les gars pour votre aide
donc je ping bien les dns de free

j’ai fait un route -n voici ce que ca me donne :

srv1:~# route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.0.254   0.0.0.0         UG    0      0        0 eth1

ôte moi d’un doute …

dans tes exemples de la commande ping, c’est toi qui a mis le http:// ou c’est l’éditeur du forum qui fait du zèle ??

c’est moi mais meme si je fais :

srv1:~# ping www.google.fr
ping: unknown host www.google.fr
srv1:~# ping google.fr
ping: unknown host google.fr

:frowning:

Forcément, si tu essaies de pinguer un URL, ça va beaucoup moins bien marcher. On pingue une machine définie par son adresse IP ou son nom de domaine, pas un URL.

Que racontent

host ftp.fr.debian.org 212.27.40.240 host ftp.fr.debian.org 212.27.40.241
(ou nslookup, ou dig)

Excuse moi j’arrive de windows et si je fais un google.fr j’ai bien une réponse donc je je pensais qu’il en été de même avec linux, sinon

srv1:~# host ftp.fr.debian.org 212.27.40.240
;; connection timed out; no servers could be reached

nslookup m’ouvre un shell

srv1:~# nslookup
>

je ne sais pas m’en servir dsl

pour info dig fait :

srv1:~# dig

; <<>> DiG 9.5.1-P3 <<>>
;; global options:  printcmd
;; connection timed out; no servers could be reached

Tiens, les serveurs DNS répondent au ping (d’après ce que tu as écrit) mais pas aux requêtes DNS ? C’est pareil avec .241 ?
Que donne un traceroute UDP (par défaut) et ICMP (option -I) vers les adresses des DNS ?
Tu as des règles iptables (résultat de la commande iptables-save) ?

PS : Je ne sais pas quel Windows tu utilisais, mais le mien (2000) ne sait pas pinguer un URL non plus, et c’est normal.

PPS : dig et nslookup sont des alternatives à host pour interroger directement un serveur DNS, ils ont chacun une page de manuel accessible avec "man ".

pour le trace route udp :

traceroute UDP UDP: Ãchec temporaire dans la résolution du nom Cannot handle "host" cmdline arg `UDP' on position 1 (argc 1)

je crois que tu as trouver le problème !!!

[code]iptables-save

Generated by iptables-save v1.4.2 on Mon Sep 7 15:50:03 2009

*filter
:INPUT DROP [750:80646]
:FORWARD DROP [0:0]
:OUTPUT DROP [306:19472]
:LOG_REJECT_SMTP - [0:0]
-A INPUT -s 61.64.128.0/17 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -s 122.120.0.0/13 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -s 168.95.0.0/16 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH --rsource -j LOG --log-prefix "SSH REJECT "
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A LOG_REJECT_SMTP -j LOG --log-prefix " SMTP REJECT PAQUET : "
-A LOG_REJECT_SMTP -j DROP
COMMIT

Completed on Mon Sep 7 15:50:03 2009

[/code]

je me suis fais un firewall et c’est ca qui doit merder !!

voici mon shell :

[code]#!/bin/bash
echo Setting firewall rules…

Debut Initialisation

Interdire toute connexion entrante

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

Interdire toute connexion sortante

iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

Vider les tables actuelles

iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

#Creation d’une chaine
iptables -N LOG_REJECT_SMTP
iptables -A LOG_REJECT_SMTP -j LOG --log-prefix ’ SMTP REJECT PAQUET : '
iptables -A LOG_REJECT_SMTP -j DROP

Anti-Taiwanais

iptables -t filter -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
echo - Bloquer Taiwanais : [OK]

Ne pas casser les connexions etablies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions éblies : [OK]

Autoriser les requetes FTP, HTTP

iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
echo - Autoriser les requetes FTP, HTTP : [OK]

Autoriser loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

Autoriser ping

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

HTTP

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

Mail

iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

Autoriser SSH

iptables -t filter -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH REJECT "
iptables -t filter -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -t filter -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
echo - Autoriser serveur SSH : [OK]
[/code]

c’est surement ca je vais tester

Ton jeu de règles bloque tout par défaut en sortie et n’autorise que quelques trucs dont ICMP mais pas DNS. Pour info DNS utilise le port 53 en TCP et UDP.

[quote]traceroute UDP
UDP: Ãchec temporaire dans la résolution du nom
Cannot handle “host” cmdline arg `UDP’ on position 1 (argc 1)[/quote]
Heu, tu as saisi quoi comme commande pour obtenir ce message ?

Commentaires gratuits :

Où ça SMTP ?

# Autoriser ping iptables -t filter -A INPUT -p icmp -j ACCEPT
Cette règle accepte bien plus que le ping. La requête ping est un type ICMP parmi d’autres (echo, type 8 ). Pour n’accepter que ce type, il faudrait ajouter “–icmp-type echo”. Le suivi de connexion classe la réponse (echo-reply, type 0 ) dans l’état ESTABLISHED donc pas besoin de règle spécifique.

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo - Autoriser serveur FTP : [OK]
Doublon avec une règle précédente.

obtenu comme ceci :

srv1:~# traceroute UDP
UDP: Ãchec temporaire dans la résolution du nom
Cannot handle "host" cmdline arg `UDP' on position 1 (argc 1)

laquelle règle est en double ??

et pour info :

srv1:~# ICMP -i 212.27.40.240
-su: ICMP: command not found

"traceroute UDP (par défaut) et ICMP (option -I) vers les adresses des DNS"
C’est dur le lundi…

traceroute 212.27.40.240
traceroute -I 212.27.40.240

Pour chaque il existe une page de manuel qui indique comment l’utiliser.

La règle en doublon est celle que j’ai citée.

donc en virant le firewall.sh de rc.local si je fais un traceroute :

traceroute -I 212.27.40.240 traceroute to 212.27.40.240 (212.27.40.240), 30 hops max, 40 byte packets 1 192.168.0.254 (192.168.0.254) 1.899 ms 2.437 ms 2.915 ms 2 82.244.182.254 (82.244.182.254) 45.378 ms 45.714 ms 46.204 ms 3 vlq-6k-2-a5.routers.proxad.net (213.228.4.254) 47.804 ms * * 4 th2-crs16-1-be1002.intf.routers.proxad.net (212.27.57.217) 51.833 ms 52.591 ms 52.827 ms 5 bzn-6k-1-po20.intf.routers.proxad.net (212.27.57.9) 53.209 ms * * 6 c4948-b20-1-v910.intf.routers.proxad.net (212.27.58.94) 55.157 ms 22.362 ms 23.248 ms 7 dns1.proxad.net (212.27.40.240) 23.682 ms 21.450 ms 22.795 ms srv1:~#

c’est pas dur le lundi c’est que je connais pas bien encore :wink:

Le traceroute -I (ICMP) devrait passer même avec le pare-feu puisque le ping passe, donc c’est surtout le traceroute par défaut (UDP) qui était intéressant avec et sans pare-feu. Mais ce n’est plus très utile maintenant, l’exament du jeu de règles iptables suffisant à mettre la responsabilité de ce dernier en évidence.

A propos du jeu de règles iptables, malgré cette erreur il ne ressemble pas à l’oeuvre d’un débutant qui ne maîtrise pas l’utilisation de commandes aussi basiques que nslookup et traceroute.

réellement je ne débute pas sur linux, j’ai eu l’occasion de tester pas mal de distrib sans vraiment franchir le pas !!
mais je bosse sous sco openserver …
maintenant iptable reste complexe pour moi mais j’ai trouvé quelques docs sympa …
pour ce qui est de mon firewall je dois donc libérer les ports 53 pour les dns et virer les doublons tu pourras me corriger ??

en tous cas merci pour ton aide a charge de revanche

Héhé… pour une fois que je peux “contredire” Pascal…:[quote=“PascalHambourg”]PS : Je ne sais pas quel Windows tu utilisais, mais le mien (2000) ne sait pas pinguer un URL non plus, et c’est normal.[/quote]Si si… ça marche… que ce soit sous windo* (quelque soit la “version”… heureusement d’ailleurs, sinon pas de connexion à un “domaine billou” possible…) ou sous Debian, quand ton(tes) DNS est(sont) correctement configuré(s), pinguer un serveur via son “nom”, c’est possible (sans le . bien entendu)…$ ping forum.debian-fr.org PING www.zehome.com (88.165.116.107) 56(84) bytes of data. 64 bytes from appart.zehome.com (88.165.116.107): icmp_seq=1 ttl=49 time=43.8 ms 64 bytes from appart.zehome.com (88.165.116.107): icmp_seq=2 ttl=49 time=44.0 ms 64 bytes from appart.zehome.com (88.165.116.107): icmp_seq=3 ttl=49 time=43.9 ms ^C --- www.zehome.com ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2010ms rtt min/avg/max/mdev = 43.897/43.965/44.060/0.069 msÇa, c’est sur un réseau avec “passerelle” qui sert aussi de DNS pour “l’extérieur” (redirection du serveur DNS interne vers la passerelle…). Mais ça marche aussi “de chez moi”, derrière un bête routeur (NetGear), et ce, que je configure en DNS soit ceux du FAI, soit le routeur… :unamused:

Mais bon… ça fait pas vraiment avancer le schmilblick tout ça… :blush:

Bon courage à toutes et tous… :smt006

… tu te prends les pieds dans le tapis. :stuck_out_tongue:

J’ai écrit “URL”, pas “nom d’hôte”. Un URL, c’est justement avec le http:// (ou autre identificateur de protocole).