c’est moi mais meme si je fais :

srv1:~# ping www.google.fr
ping: unknown host www.google.fr
srv1:~# ping google.fr
ping: unknown host google.fr

Forcément, si tu essaies de pinguer un URL, ça va beaucoup moins bien marcher. On pingue une machine définie par son adresse IP ou son nom de domaine, pas un URL.

Que racontent

host ftp.fr.debian.org 212.27.40.240 host ftp.fr.debian.org 212.27.40.241
(ou nslookup, ou dig)

Excuse moi j’arrive de windows et si je fais un google.fr j’ai bien une réponse donc je je pensais qu’il en été de même avec linux, sinon

srv1:~# host ftp.fr.debian.org 212.27.40.240
;; connection timed out; no servers could be reached

nslookup m’ouvre un shell

srv1:~# nslookup
>

je ne sais pas m’en servir dsl

pour info dig fait :

srv1:~# dig

; <<>> DiG 9.5.1-P3 <<>>
;; global options:  printcmd
;; connection timed out; no servers could be reached

Tiens, les serveurs DNS répondent au ping (d’après ce que tu as écrit) mais pas aux requêtes DNS ? C’est pareil avec .241 ?
Que donne un traceroute UDP (par défaut) et ICMP (option -I) vers les adresses des DNS ?
Tu as des règles iptables (résultat de la commande iptables-save) ?

PS : Je ne sais pas quel Windows tu utilisais, mais le mien (2000) ne sait pas pinguer un URL non plus, et c’est normal.

PPS : dig et nslookup sont des alternatives à host pour interroger directement un serveur DNS, ils ont chacun une page de manuel accessible avec "man ".

pour le trace route udp :

traceroute UDP UDP: Ãchec temporaire dans la résolution du nom Cannot handle "host" cmdline arg `UDP' on position 1 (argc 1)

je crois que tu as trouver le problème !!!

[code]iptables-save

Generated by iptables-save v1.4.2 on Mon Sep 7 15:50:03 2009

*filter
:INPUT DROP [750:80646]
:FORWARD DROP [0:0]
:OUTPUT DROP [306:19472]
:LOG_REJECT_SMTP - [0:0]
-A INPUT -s 61.64.128.0/17 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -s 122.120.0.0/13 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -s 168.95.0.0/16 -i eth0 -j LOG_REJECT_SMTP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH --rsource -j LOG --log-prefix "SSH REJECT "
-A INPUT -p tcp -m tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH --rsource -j DROP
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -m recent --set --name SSH --rsource -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A LOG_REJECT_SMTP -j LOG --log-prefix " SMTP REJECT PAQUET : "
-A LOG_REJECT_SMTP -j DROP
COMMIT

Completed on Mon Sep 7 15:50:03 2009

[/code]

je me suis fais un firewall et c’est ca qui doit merder !!

voici mon shell :

[code]#!/bin/bash
echo Setting firewall rules…

Debut Initialisation

Interdire toute connexion entrante

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
echo - Interdire toute connexion entrante : [OK]

Interdire toute connexion sortante

iptables -t filter -P OUTPUT DROP
echo - Interdire toute connexion sortante : [OK]

Vider les tables actuelles

iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]

#Creation d’une chaine
iptables -N LOG_REJECT_SMTP
iptables -A LOG_REJECT_SMTP -j LOG --log-prefix ’ SMTP REJECT PAQUET : '
iptables -A LOG_REJECT_SMTP -j DROP

Anti-Taiwanais

iptables -t filter -A INPUT -i eth0 -s 61.64.128.0/17 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 122.120.0.0/13 -j LOG_REJECT_SMTP
iptables -t filter -A INPUT -i eth0 -s 168.95.0.0/16 -j LOG_REJECT_SMTP
echo - Bloquer Taiwanais : [OK]

Ne pas casser les connexions etablies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions éblies : [OK]

Autoriser les requetes FTP, HTTP

iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
echo - Autoriser les requetes FTP, HTTP : [OK]

Autoriser loopback

iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo - Autoriser loopback : [OK]

Autoriser ping

iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo - Autoriser ping : [OK]

HTTP

iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
echo - Autoriser serveur Apache : [OK]

modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

Mail

iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
echo - Autoriser serveur Mail : [OK]

Autoriser SSH

iptables -t filter -A INPUT -p tcp --dport 22 -m recent --rcheck --seconds 60 --hitcount 2 --name SSH -j LOG --log-prefix "SSH REJECT "
iptables -t filter -A INPUT -p tcp --dport 22 -m recent --update --seconds 60 --hitcount 2 --name SSH -j DROP
iptables -t filter -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT
echo - Autoriser serveur SSH : [OK]
[/code]

c’est surement ca je vais tester

Ton jeu de règles bloque tout par défaut en sortie et n’autorise que quelques trucs dont ICMP mais pas DNS. Pour info DNS utilise le port 53 en TCP et UDP.

[quote]traceroute UDP
UDP: Ãchec temporaire dans la résolution du nom
Cannot handle “host” cmdline arg `UDP’ on position 1 (argc 1)[/quote]
Heu, tu as saisi quoi comme commande pour obtenir ce message ?

Commentaires gratuits :

Où ça SMTP ?

# Autoriser ping iptables -t filter -A INPUT -p icmp -j ACCEPT
Cette règle accepte bien plus que le ping. La requête ping est un type ICMP parmi d’autres (echo, type 8 ). Pour n’accepter que ce type, il faudrait ajouter “–icmp-type echo”. Le suivi de connexion classe la réponse (echo-reply, type 0 ) dans l’état ESTABLISHED donc pas besoin de règle spécifique.

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo - Autoriser serveur FTP : [OK]
Doublon avec une règle précédente.

obtenu comme ceci :

srv1:~# traceroute UDP
UDP: Ãchec temporaire dans la résolution du nom
Cannot handle "host" cmdline arg `UDP' on position 1 (argc 1)

laquelle règle est en double ??

et pour info :

srv1:~# ICMP -i 212.27.40.240
-su: ICMP: command not found

"traceroute UDP (par défaut) et ICMP (option -I) vers les adresses des DNS"
C’est dur le lundi…

traceroute 212.27.40.240
traceroute -I 212.27.40.240

Pour chaque il existe une page de manuel qui indique comment l’utiliser.

La règle en doublon est celle que j’ai citée.

donc en virant le firewall.sh de rc.local si je fais un traceroute :

traceroute -I 212.27.40.240 traceroute to 212.27.40.240 (212.27.40.240), 30 hops max, 40 byte packets 1 192.168.0.254 (192.168.0.254) 1.899 ms 2.437 ms 2.915 ms 2 82.244.182.254 (82.244.182.254) 45.378 ms 45.714 ms 46.204 ms 3 vlq-6k-2-a5.routers.proxad.net (213.228.4.254) 47.804 ms * * 4 th2-crs16-1-be1002.intf.routers.proxad.net (212.27.57.217) 51.833 ms 52.591 ms 52.827 ms 5 bzn-6k-1-po20.intf.routers.proxad.net (212.27.57.9) 53.209 ms * * 6 c4948-b20-1-v910.intf.routers.proxad.net (212.27.58.94) 55.157 ms 22.362 ms 23.248 ms 7 dns1.proxad.net (212.27.40.240) 23.682 ms 21.450 ms 22.795 ms srv1:~#

c’est pas dur le lundi c’est que je connais pas bien encore

Le traceroute -I (ICMP) devrait passer même avec le pare-feu puisque le ping passe, donc c’est surtout le traceroute par défaut (UDP) qui était intéressant avec et sans pare-feu. Mais ce n’est plus très utile maintenant, l’exament du jeu de règles iptables suffisant à mettre la responsabilité de ce dernier en évidence.

A propos du jeu de règles iptables, malgré cette erreur il ne ressemble pas à l’oeuvre d’un débutant qui ne maîtrise pas l’utilisation de commandes aussi basiques que nslookup et traceroute.

réellement je ne débute pas sur linux, j’ai eu l’occasion de tester pas mal de distrib sans vraiment franchir le pas !!
mais je bosse sous sco openserver …
maintenant iptable reste complexe pour moi mais j’ai trouvé quelques docs sympa …
pour ce qui est de mon firewall je dois donc libérer les ports 53 pour les dns et virer les doublons tu pourras me corriger ??

en tous cas merci pour ton aide a charge de revanche

Héhé… pour une fois que je peux “contredire” Pascal…:[quote=“PascalHambourg”]PS : Je ne sais pas quel Windows tu utilisais, mais le mien (2000) ne sait pas pinguer un URL non plus, et c’est normal.[/quote]Si si… ça marche… que ce soit sous windo* (quelque soit la “version”… heureusement d’ailleurs, sinon pas de connexion à un “domaine billou” possible…) ou sous Debian, quand ton(tes) DNS est(sont) correctement configuré(s), pinguer un serveur via son “nom”, c’est possible (sans le …. bien entendu)…$ ping forum.debian-fr.org PING www.zehome.com (88.165.116.107) 56(84) bytes of data. 64 bytes from appart.zehome.com (88.165.116.107): icmp_seq=1 ttl=49 time=43.8 ms 64 bytes from appart.zehome.com (88.165.116.107): icmp_seq=2 ttl=49 time=44.0 ms 64 bytes from appart.zehome.com (88.165.116.107): icmp_seq=3 ttl=49 time=43.9 ms ^C --- www.zehome.com ping statistics --- 3 packets transmitted, 3 received, 0% packet loss, time 2010ms rtt min/avg/max/mdev = 43.897/43.965/44.060/0.069 msÇa, c’est sur un réseau avec “passerelle” qui sert aussi de DNS pour “l’extérieur” (redirection du serveur DNS interne vers la passerelle…). Mais ça marche aussi “de chez moi”, derrière un bête routeur (NetGear), et ce, que je configure en DNS soit ceux du FAI, soit le routeur… …

Mais bon… ça fait pas vraiment avancer le schmilblick tout ça…

Bon courage à toutes et tous…

… tu te prends les pieds dans le tapis.

J’ai écrit “URL”, pas “nom d’hôte”. Un URL, c’est justement avec le http:// (ou autre identificateur de protocole).

[quote=“Hotfirenet”]maintenant iptable reste complexe pour moi mais j’ai trouvé quelques docs sympa …
pour ce qui est de mon firewall je dois donc libérer les ports 53 pour les dns et virer les doublons tu pourras me corriger ??[/quote]
Ah, tu veux dire que tu as tout pompé sans comprendre ? Alors il y a peut-être d’autres choses à revoir…

Pour DNS, il faut accepter le port 53 TCP et UDP en sortie, de la même façon que pour les ports FTP ou HTTP :

# Autoriser les requetes DNS
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT

Au temps pour moi… me semblait bien… c’était trop facile… Celà dit… sonping www.google.com devrait marcher… (en fait… c’est “à cause” de ça que j’ai posté… )

[quote=“Num’s”]:oops:
Au temps pour moi… me semblait bien… c’était trop facile…[/quote]
Bah, ce sera pour une autre fois.

Ça marchera dès que le jeu de règles iptables aura été corrigé.
Mais pourquoi utiliser à chaque fois le serveur Google pour tester la résolution DNS ou la connectivité IP ? Pourquoi ne pas tester avec un serveur Debian, après tout c’est un forum Debian ici ?

excuse moi c’est vrai mais je ne connais pas encore l’adresse des serveurs …
bon je finalise mon firewall afin que tu me le corrige

en tous cas mille merci

donc pour le doublon ca viens de :

modprobe ip_conntrack_ftp
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo - Autoriser serveur FTP : [OK]

et

est en doublon avec quoi ??

merci pour votre je dois partir !!!
je me remet dessus demain soir

iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT echo - Autoriser serveur FTP : [OK]
est en doublon avec

# Ne pas casser les connexions etablies iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
‘filter’ est la table par défaut, et l’ordre des états est sans importance.
Mais ce n’est pas grave d’avoir deux règles qui acceptent la même chose. Il y en a juste une qui ne servira jamais.