bonsoir
j’ai un problème avec mon serveur je peut y acceder à distance mais je n’arrive plus à y accéder en local
je peut le pinguer et c’est super bizarre parceque je ne plus m’y connecter en ftp ou en ssh ni meme accés a apache en local
mais à distance j’ai accés à tout (ou presque j’ai jamais réussit à ce que mon ftp fonctionne en local et de l’exterieur)
quelqu’un peut m’aider s’i vous plait
nan parceque j’ai une ip fixe que je suis sous free et que ça marchait tres bien il ya encore 2 semaines
Informations insuffisantes. Boule de cristal en panne.
Décris le réseau, la topologie, le plan d’adressage.
Décris les équipements, les services.
Décris ce que tu fais (tests, commandes…) et le résultat attendu.
Décris ce qui se passe (résultats, messages…)
oui c’est vrai désolé
réseau tout bête tout est branché directement sur le switch de la freebox
tout ça veut dire mon pc mon serveur et ma freebox hd
tout fonctionne bien sur le réseau (en apparence et je le pense aussi)
les pings marchent bien
les seul problèmes c’est quand je veut communiquer avec mon serveur avec son adresse local (192.168.0.10) il ne répond pas (connection refused) que cela soit en ftp en http ou en ssh par contre de l’extérieur tout fonctionne parfaitement
j’espere avoir été un peu plus précis si tu as des questions précise n’hésite pas merci
Je rajouterais les logs…
“connection refused”, c’est une réponse. Soit le port n’est pas ouvert en écoute à cette adresse, soit il y a un pare-feu.
Il y a des règles iptables sur le poste et/ou le serveur ?
les logs j’y avais pas penser lesquels il faut ? il sont ou ?
y doit pas y avoir de probleme de port puisque ça fonctionne e l’exterieur
Il est préférable de vérifier les ports en écoute avec “netstat -ntulp”. Et les règles iptables (à lister avec iptables-save) ?
je ne sais si ça sert a quelque chose maisje viens de me rendre compte que j’avais plein de mail
tous les memes
Message 1:
From root@serveur Sun Mar 08 06:25:24 2009
Envelope-to: root@serveur
Delivery-date: Sun, 08 Mar 2009 06:25:24 +0100
From: root@serveur (Cron Daemon)
To: root@serveur
Subject: Cron <root@serveur> test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
Content-Type: text/plain; charset=UTF-8
X-Cron-Env: <SHELL=/bin/sh>
X-Cron-Env: <PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin>
X-Cron-Env: <HOME=/root>
X-Cron-Env: <LOGNAME=root>
Date: Sun, 08 Mar 2009 06:25:24 +0100
/etc/cron.daily/logrotate:
apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerNamepour le netstat :
[code]~$ (Pas d’infos lues pour “-p”: geteuid()=1000 mais vous devez être root.)
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:201 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:202 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:37389 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:637 0.0.0.0:* LISTEN -
tcp6 0 0 :::202 :::* LISTEN -
tcp6 0 0 :::80 :::* LISTEN -
udp 0 0 0.0.0.0:647 0.0.0.0:* -
udp 0 0 0.0.0.0:35355 0.0.0.0:* -
udp 0 0 0.0.0.0:68 0.0.0.0:* -
udp 0 0 0.0.0.0:39905 0.0.0.0:* -
udp 0 0 0.0.0.0:5353 0.0.0.0:* -
udp 0 0 0.0.0.0:111 0.0.0.0:* -
udp6 0 0 :::5353 :::* -
udp6 0 0 :::60141 :::* -
[/code]
étant donné que j’utilise les port 202 et 201 pour le ssh et le ftp tout ma l’ère bon
et pour mon iptables jene comprends pas grand chose mais voila
[code]# iptables-save
Generated by iptables-save v1.4.2 on Wed Sep 16 13:59:37 2009
*raw
:PREROUTING ACCEPT [82604:4334932]
:OUTPUT ACCEPT [29750:867915007]
COMMIT
Completed on Wed Sep 16 13:59:37 2009
Generated by iptables-save v1.4.2 on Wed Sep 16 13:59:37 2009
*mangle
:PREROUTING ACCEPT [82605:4335276]
:INPUT ACCEPT [82605:4335276]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29751:867915351]
:POSTROUTING ACCEPT [29760:867917712]
COMMIT
Completed on Wed Sep 16 13:59:37 2009
Generated by iptables-save v1.4.2 on Wed Sep 16 13:59:37 2009
*nat
:PREROUTING ACCEPT [4084:212747]
:POSTROUTING ACCEPT [43:2737]
:OUTPUT ACCEPT [43:2737]
COMMIT
Completed on Wed Sep 16 13:59:37 2009
Generated by iptables-save v1.4.2 on Wed Sep 16 13:59:37 2009
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29753:867915711]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 202 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 201 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 11000:11100 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
COMMIT
Completed on Wed Sep 16 13:59:37 2009
[/code]
si ça peut éclaircir un peu le mystère …
Je ne vois rien qui puisse expliquer le rejet des connexions provenant du poste local. Et sur le poste client, pas de règles iptables ?
Comme indiqué, il faut passer root pour utiliser l’option -p de netstat qui affiche le nom du processus ayant ouvert un port.
La plage de ports 11000-11100, c’est pour les connexions de données passives FTP ?
A quoi correspond l’interface eth0 ? La machine en a d’autres (en plus de lo) ?
les port 11000 à 11100 oui c’est pour le ftp
ma machine n’a pas de règle iptable a ma connaissance (j’en ai jamais mis mais je vérifierais ce soir)
l’interface eth0 c’est celle qui est branché sur ma freebox et nan j’en ai pas d’autre
pour le netstat
~# netstat -ntulp
Connexions Internet actives (seulement serveurs)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 0.0.0.0:201 0.0.0.0:* LISTEN 2569/vsftpd
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 2201/mysqld
tcp 0 0 0.0.0.0:202 0.0.0.0:* LISTEN 2148/sshd
tcp 0 0 0.0.0.0:37389 0.0.0.0:* LISTEN 1743/rpc.statd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 1732/portmap
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 2538/exim4
tcp 0 0 127.0.0.1:637 0.0.0.0:* LISTEN 2581/famd
tcp6 0 0 :::202 :::* LISTEN 2148/sshd
tcp6 0 0 :::80 :::* LISTEN 2765/apache2
udp 0 0 0.0.0.0:647 0.0.0.0:* 1743/rpc.statd
udp 0 0 0.0.0.0:35355 0.0.0.0:* 1998/avahi-daemon:
udp 0 0 0.0.0.0:68 0.0.0.0:* 2074/dhclient3
udp 0 0 0.0.0.0:39905 0.0.0.0:* 1743/rpc.statd
udp 0 0 0.0.0.0:5353 0.0.0.0:* 1998/avahi-daemon:
udp 0 0 0.0.0.0:111 0.0.0.0:* 1732/portmap
udp6 0 0 :::5353 :::* 1998/avahi-daemon:
udp6 0 0 :::60141 :::* 1998/avahi-daemon:
tout me paraît normal
il sert à quoi exim4 ? parceque il mets beaucoup de temps a démarrer sur ma machine (pas le serveur)
exim4 est le MTA (mail transport agent), le serveur SMTP local.
Si eth0 est la seule interface, alors toutes les règles iptables précédentes (autres que celle concernant lo) ne servent à rien puisque la dernière règle accepte tout ce qui entre par eth0. Résultat, tes règles iptables ne filtrent rien du tout. En gros, en supprimant toutes les règles inutiles car redondantes il reste :
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPTSi lo et eth0 sont les seules interfaces du système, cela équivaut à :
-A INPUT -j ACCEPTa ben ça c’est bon a savoir donc iptable ne me sert a rien pour le moment
sachant qu’il est derriere un routeur et donc qu’il n’a que quelque port de redirigé vers lui est ce que je ferais pas mieux de supprimé toutes les règles voir désactivé iptables ?
sinon pour l’accés en local cela ne change rien cela ne marche pas pour le moment
Je rappelle à toute fin utile que le NAT ne doit pas être considéré comme une protection, un vrai pare-feu reste justifié.
Le pare-feu du serveur étant actuellement une passoire, ce n’est pas lui qui peut gêner les connexions. Au passage c’est facile de le rendre un peu plus efficace, il suffit de supprimer la règle avec eth0.
Qu’est-ce qui ne change rien ? Tu as modifié quelque chose ?
nan je n’ai rien changé mais je suis un peu mal exprimé en faite c’etait une question par rapport a mes regles iptables, ça ne peut pas etre pour ça que cela fonctionne pas en local
du coup je suis un peu paumé
et je penserais a refaire mes regles mais pas avant que cela refonctionne je voudrais pas me coupé la main 
ça m’etais deja arrivé quand je les avait configuré la premiere fois
up personne n’as d’idée pour mon problème
Pas pour le moment. J’attends la confirmation de
Une capture de trafic sur les deux machines lors d’une tentative de connexion permettrait peut-être d’y voir plus clair.
pas bête du tout
comment je fait ça ?
par tcpdump