Problèmes bizarres avec un routeur sous debian


#1

Bonjour à tous :slightly_smiling:

J’ai récemment réinstallé mon routeur Gentoo avec une Debian 3.1 car je voulais du précompilé, marre des sources.

Mais depuis que j’ai changé, j’ai des problèmes bizarres (que je n’avais jamais eu auparavant) sur mon réseau local… mais pas seulement :open_mouth:

Par exemple, je ne sais plus accéder à certains sites (comme fortis.be, jeuxvideo.com, dvdpost.be, …) à partir d’une machine NATée mais je peux le faire à partir du routeur, je reste bloqué sur l’écran de login de Guild Wars (là encore il ne sait pas se connecter au serveur d’identification), je ne sais plus seeder via bittorrent à partir du routeur même (alors que j’ai ouvert des ports expres), …

J’utilise le même script de firewall/routeur qu’avant, ça ne peut donc pas être ça.
J’ai également changé de kernel (2.4 -> 2.6), et toujours la même chose.
J’ai un ami qui a eu exactement le même problème mais qui n’a jamais trouvé la solution :cry:
Cela fait plus d’un mois que je chipote en vain.
J’imagine que si on est déjà 2 a avoir eu ça, il doit y en avoir d’autres !

Pour information, j’utilise la version unstable de Debian, avec pour l’instant un kernel-image-2.6-k7 (2.6.15-1), iptables v1.3.3, iproute2-ss051007 (pour tc) et je me connecte en PPPoE avec pppd version 2.4.4b1.

J’aimerais bien avoir votre avis avant d’inonder ce forum avec mes scripts (iptables, sysctl.conf, …).

J’espère vraiment que quelqu’un pourra m’aider :confused:

Merci à tous et à bientôt !


#2

slt,

Si tu utilise exactement la meme version du kernel/iptable/interface je vois pas trop ce qui peut bloquer vue que c’est exactement la meme config a part la gestion du systeme qui différe de Gentoo a Debian.

Sinon pour debugué, tu peut commençer par flusher toute tes régles sur le firewall, ensuite tu fait tes tests et tu remet les régles progressivement. En clair tu met ton systeme a nue (iptable, sysctl, etc…) pour voir si ca passe et tu reconf gentillement.


#3

Ce ne sont pas les mêmes versions car ma Gentoo n’était plus mise à jour depuis longtemps.

J’ai tout mis à nu (enfin juste iptables et sysctl où j’ai laissé le net/ipv4/ip_forward=1) comme ça a été suggéré et même redémarré.
Ensuite, un petit

Et rien… pas de changements :cry:
Du coup, j’ai voulu faire un fichier avec les variables de sysctl et j’ai obtenu ceci :

server:~# sysctl -a > sysctl.out error: "Success" reading key "dev.parport.parport0.autoprobe3" error: "Success" reading key "dev.parport.parport0.autoprobe2" error: "Success" reading key "dev.parport.parport0.autoprobe1" error: "Success" reading key "dev.parport.parport0.autoprobe0" error: "Success" reading key "dev.parport.parport0.autoprobe" error: "Operation not permitted" reading key "net.ipv6.route.flush" error: "Operation not permitted" reading key "net.ipv4.route.flush"
Je sais pas si ça peut aider.
De plus, en passant par mon Linksys WRT54G, tout baigne :confused:


#4

Up… :confused:


#5

Bon, que donne

iptables -t nat -L

iptables -L

Enfin, as tu la possibilité de te faire envoyer des paquets sur un port précis par une machine extérieure?


#6

Voici le script que je tourne pour l’instant (et que je tournais avant de mettre une Debian) :

[code]server:~# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all – anywhere anywhere
ACCEPT tcp – anywhere anywhere tcp dpt:ssh
ACCEPT tcp – anywhere anywhere tcp dpt:www
ACCEPT tcp – anywhere anywhere tcp dpt:5010
ACCEPT tcp – anywhere anywhere tcp dpt:5011
ACCEPT tcp – anywhere anywhere tcp dpt:5012
ACCEPT tcp – anywhere anywhere tcp dpt:5013
ACCEPT tcp – anywhere anywhere tcp dpt:5014
ACCEPT tcp – anywhere anywhere tcp dpt:5015
ACCEPT tcp – anywhere anywhere tcp dpt:5016
ACCEPT tcp – anywhere anywhere tcp dpt:5017
ACCEPT tcp – anywhere anywhere tcp dpt:5018
ACCEPT tcp – anywhere anywhere tcp dpt:5019
ACCEPT tcp – anywhere anywhere tcp dpt:5020
ACCEPT tcp – anywhere anywhere tcp dpt:5021
ACCEPT tcp – anywhere anywhere tcp dpt:5022
ACCEPT tcp – anywhere anywhere tcp dpt:5023
ACCEPT tcp – anywhere anywhere tcp dpt:5024
ACCEPT tcp – anywhere anywhere tcp dpt:5025
ACCEPT tcp – anywhere anywhere tcp dpt:5026
ACCEPT tcp – anywhere anywhere tcp dpt:5027
ACCEPT tcp – anywhere anywhere tcp dpt:5028
ACCEPT tcp – anywhere anywhere tcp dpt:5029
ACCEPT tcp – anywhere anywhere tcp dpt:5030
ACCEPT tcp – anywhere anywhere tcp dpt:netbios-ssn
ACCEPT tcp – anywhere anywhere tcp dpt:microsoft-ds

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination[/code]

[code]server:~# iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp – anywhere anywhere tcp dpt:20000 to:192.168.0.3:20000
DNAT tcp – anywhere anywhere tcp dpt:20001 to:192.168.0.3:20001
DNAT tcp – anywhere anywhere tcp dpt:20002 to:192.168.0.3:20002
DNAT tcp – anywhere anywhere tcp dpt:20003 to:192.168.0.3:20003
DNAT tcp – anywhere anywhere tcp dpt:20004 to:192.168.0.3:20004
DNAT tcp – anywhere anywhere tcp dpt:20005 to:192.168.0.3:20005
DNAT tcp – anywhere anywhere tcp dpt:20100 to:192.168.0.3:20100
DNAT tcp – anywhere anywhere tcp dpt:20200 to:192.168.0.3:20200

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all – 192.168.0.0/24 anywhere
MASQUERADE all – 192.168.0.0/24 anywhere
MASQUERADE all – 192.168.0.0/24 anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[/code]

J’ai aussi du QoS qui tourne mais ça n’a rien à voir… vu que sans, ça reste la même chose.

Pour l’envoi de paquets de l’extérieur, à priori non.
Sauf s’il y a un site qui le permet :slightly_smiling:


#7

Pour bittorrent, il te faut ouvrir les ports 6881-6889, 6969 par exemple.

Tu as fermé beaucoup de ports en entrée (mais pas ceux de samba bizarrement)

Essayes avec

iptables -F INPUT

iptables -P INPUT ACCEPT

puis tu essayes. Ça devrait marcher. Là tu lances tes services. Tu regardes avec

netstat -tulp

les services en écoutes, tu rajoutes éventuellement les ports associés en consultant une table. Et enfin tu ouvres tous ces ports (sauf ceux que tu veux explicitement protéger) et tu fermes les autres en mettant la loi par défaut à DROP.


#8

Eh bien… après ça je me suis rendu compte que mon problème de seeding était en fait… pas un problème ! Cela fonctionne bien avec un seul port ouvert (que je désigne dans mon .rtorrent.rc, pas spécialement besoin du 6881, 6969, …). Quel boulet je fais ! En tout cas, merci fran :laughing:

Par contre, j’ai toujours le problème de sites inacessibles à partir de mon réseau local mais pas à partir de ma gateway Debian (ce qui engendre aussi des problèmes de connexion à certains jeux comme Guild Wars). Il y a quelques exemples de ces sites dans mon premier message. Une idée ? Merci encore.


#9

J’ai essayé ces sites notamment Guildwars en trçant la connexion. Celle ci n’utilise que le port 80. Par contre le site a l’air suffisamment complexe pour être incompatible avec certains naviagteurs. Est ce que ça bloque toujours avec lynx???

La deuxième possibilité est un problème de DNS, est ce que

$ host fortis.be

te donne l’adresse IP


#10

Bon alors… j’ai fait quelques tests de ping à partir du routeur Debian et à partir de deux stations de travail Wind0w$. J’ai pris comme sites jeuxvideo.com et fortis.be, tout deux inaccessibles à partir d’une station de travail. Par contre et comme je l’ai déjà dit, si je passe par mon routeur linksys et plus par mon routeur debian, je n’ai pas de problèmes…

À partir du routeur :

[code]# ping jeuxvideo.com
PING jeuxvideo.com (217.174.215.102) 56(84) bytes of data.
64 bytes from www.jeuxvideo.com (217.174.215.102): icmp_seq=1 ttl=53 time=30.7 ms
64 bytes from www.jeuxvideo.com (217.174.215.102): icmp_seq=2 ttl=53 time=23.3 ms
64 bytes from www.jeuxvideo.com (217.174.215.102): icmp_seq=3 ttl=53 time=48.5 ms
64 bytes from www.jeuxvideo.com (217.174.215.102): icmp_seq=4 ttl=53 time=29.9 ms

jeuxvideo.com ping statistics —
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 23.366/33.143/48.535/9.336 ms
[/code][code]# ping fortis.be
PING fortis.be (193.58.4.34) 56(84) bytes of data.
From 194.78.212.201 icmp_seq=1 Packet filtered
From 194.78.212.201 icmp_seq=2 Packet filtered
From 194.78.212.201 icmp_seq=3 Packet filtered
From 194.78.212.201 icmp_seq=4 Packet filtered

fortis.be ping statistics —
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3001ms[/code]

À partir d’une station de travail :

[code]> ping jeuxvideo.com

Envoi d’une requête ‘ping’ sur jeuxvideo.com [217.174.215.102] avec 32 octets de données :

Réponse de 217.174.215.102 : octets=32 temps=72 ms TTL=52
Réponse de 217.174.215.102 : octets=32 temps=24 ms TTL=52
Réponse de 217.174.215.102 : octets=32 temps=53 ms TTL=52
Réponse de 217.174.215.102 : octets=32 temps=35 ms TTL=52

Statistiques Ping pour 217.174.215.102:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 24ms, Maximum = 72ms, Moyenne = 46ms
[/code][code]> ping fortis.be

Envoi d’une requête ‘ping’ sur fortis.be [193.58.4.34] avec 32 octets de données :

Réponse de 194.78.212.201 : Impossible de joindre le réseau de destination.
Réponse de 194.78.212.201 : Impossible de joindre le réseau de destination.
Réponse de 194.78.212.201 : Impossible de joindre le réseau de destination.
Réponse de 194.78.212.201 : Impossible de joindre le réseau de destination.

Statistiques Ping pour 193.58.4.34:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms[/code]