Ufw et vlc [mis de coté]

Bonjour, j’ ai posté récemment sur le forum d’ Ubuntu mais à ce jour je n’ ai pas eu de réponse.
Bonjour,
J’ ai récemment installé ufw, et je le configure au fur et à mesure que je lance des nouveaux programmes.
J’ en suis à chercher à faire fonctionner vlc. Lorsque je veux regarder les chaines télévision fournies avec mon abonnement Free, j’ obtiens un message d’ erreur qui m’ incite à ouvrir le port 554. Je fais donc un :

Mais cela ne suffit pas (j’ ai essayé en udp au cas ou mais pas mieux)
En lançant un :

netstat -laputun
Je me rends compte que vlc ouvre une large bande de ports, et de manière aléatoire.
J’ ai fait une recherche sur ce forum, effectivement, en ouvrant une large plage, ça marche, mais cela m’ embête un peu. Je suis tombé sur un post intéressant suggérant de faire :

Mais là aussi cela ne fonctionne pas, et cela devrait, je ne comprends pas pourquoi.
Comment peut on contourner ce problème, sans ouvrir en grand son firewall ?

Merci d’ avance et bon Dimanche

bonjour,
mon grain de sel:
tout d’abord pour le port 554, j’aurais ouvert tcp/udp
man ufw
ensuite le out, c’est vous qui émettez des programmes télé?
A+
JB1

Bonjour et merci pour le coup de main
J’ avais ouvert ce port en tcp et udp, j’ aurai du le préciser avant. Voici mon ufw status :

[code]État : actif

Vers Action Depuis

666/tcp ALLOW Anywhere
21/tcp ALLOW Anywhere
8001/tcp ALLOW Anywhere
51413/tcp ALLOW Anywhere
22/tcp ALLOW Anywhere
Anywhere ALLOW 212.27.38.253/udp
Anywhere ALLOW 212.27.38.253/tcp
554/tcp ALLOW Anywhere
554/udp ALLOW Anywhere

80/tcp ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere
53/udp ALLOW OUT Anywhere
6969/tcp ALLOW OUT Anywhere
666/tcp ALLOW OUT Anywhere
21/tcp ALLOW OUT Anywhere
25,110,143/tcp ALLOW OUT Anywhere
8001/tcp ALLOW OUT Anywhere
51413/tcp ALLOW OUT Anywhere
22/tcp ALLOW OUT Anywhere
43/tcp ALLOW OUT Anywhere
[/code]
Je me retrouve toujours avec ce message d’ erreur de vlc :

[code]Connection failed:
Connection failed:
VLC could not connect to “mafreebox.freebox.fr:554”.
Your input can’t be opened:
VLC is unable to open the MRL ‘rtsp://mafreebox.freebox.fr/fbxtv_pub/stream?namespace=1&service=470&flavour=sd’. Check the log for details.

Your input can’t be opened:
VLC is unable to open the MRL ‘rtsp://mafreebox.freebox.fr/fbxtv_pub/stream?namespace=1&service=480&flavour=sd’. Check the log for details.
[/code]
Bizarre, car avec le port 554 d’ ouvert, ces deux lignes :

Anywhere ALLOW 212.27.38.253/udp Anywhere ALLOW 212.27.38.253/tcp
Cela devrait fonctionner.

Non biensur, mais j’ ai tenté au cas ou il faille que le port soit ouvert dans les deux sens.
Bonne fin d’ après midi.

Bonsoir,
Le problème vient surement que je n’ arrive pas à pinger freeplayer.freebox.fr:

[code] ping -c5 212.27.38.253
PING 212.27.38.253 (212.27.38.253) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted

— 212.27.38.253 ping statistics —
5 packets transmitted, 0 received, 100% packet loss, time 4006ms
[/code]

Le problème semble être connu, mais sur les posts que j’ ai lu, ils arrivent tous à pinguer, je suis le seul à ne pas y arriver !
Bonne soirée.

Non, car je doute fort que le ping soit nécessaire au fonctionnement de VLC. En revanche on peut supposer que les deux symptômes sont liés : tes règles de filtrage bloquent les paquets sortants émis à destination de l’adresse du freeplayer.

Dans un premier temps, j’autoriserais tout en sortie vers cette adresse et tout en entrée depuis cette adresse. Ensuite, si cela fonctionne, il sera temps de restreindre aux ports et protocoles effectivement nécessaires à VLC.

Une bonne idée est de logger les paquets bloqués afin de découvrir ce qu’il faut accepter.

A noter que dans le temps j’avais entendu parler d’un petit bug lorsque la freebox était en mode routeur NAT : quand on la contactait par l’adresse du freeplayer, elle envoyait le flux média depuis son adresse privée. Je ne sais pas si c’est toujours d’actualité.

Bonjour et merci pour ta réponse.

J’ avais fait un :

Et:

C’ est ça que tu voulais que je fasse ?
Malheureusement, cela ne semble pas suffisant.

Oui, en ouvrant une large plage, effectivement cela fonctionne, mais ça m’ embête un peu. Les port nécessaires sont apparament aléatoires à chaque fois. Et je ne comprends pas pourquoi mes deux commandes précédentes sont sans effet, alors que cela semble être la solution chez certains. Mais eux arrivent à pinguer freeplayer.freebox.fr.

[quote]A noter que dans le temps j’avais entendu parler d’un petit bug lorsque la freebox était en mode routeur NAT : quand on la contactait par l’adresse du freeplayer, elle envoyait le flux média depuis son adresse privée. Je ne sais pas si c’est toujours d’actualité.
[/quote]
Sans ufw, je n’ ai pas de problème, je pense plutôt à un problème avec mon firewall.

Je ne peux pas répondre, ne connaissant pas la syntaxe d’ufw. Néanmoins les deux règles comportent “from 212.27.38.253”, ce qui ne concerne que les paquets entrants provenant de 212.27.38.253 et non les paquets sortants émis à destination de 212.27.38.253. Peut-être “to 212.27.38.253” ? D’autre part, ces deux règles concernent les protocoles TCP et UDP. Or le ping utilise le protocole ICMP.

Le protocole RTSP fonctionne un peu comme FTP : un port fixe est utilisé par le canal de commande, mais les flux média sont envoyés depuis et vers des ports variables (pour ne pas dire “aléatoires”. Le tout en UDP, si je ne m’abuse.

Il y avait un module de suivi de connexion pour le protocole RTSP dans le patch-o-matic de netfilter (patch pour le noyau), mais depuis que ce dernier est abandonné je ne sais pas ce que c’est devenu.

[code]VLC is unable to open the MRL ‘rtsp://mafreebox.freebox.fr/fbxtv_pub/stream?namespace=1&service=470&flavour=sd’. Check the log for details.

Your input can’t be opened:
VLC is unable to open the MRL ‘rtsp://mafreebox.freebox.fr/fbxtv_pub/stream?namespace=1&service=480&flavour=sd’. Check the log for details.[/code]
Et que nous dit ce fichier journal ?

Pour le syslog, à l’ heure ou je lance vlc, j’ obtiens ça :

Jun 22 13:28:37 casper-laptop kernel: [ 6130.167598] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58525 DF PROTO=TCP SPT=57853 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:28:40 casper-laptop kernel: [ 6133.164083] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58526 DF PROTO=TCP SPT=57853 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:28:42 casper-laptop kernel: [ 6135.200120] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=48925 DF PROTO=TCP SPT=57854 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:28:45 casper-laptop kernel: [ 6138.200089] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=48926 DF PROTO=TCP SPT=57854 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:28:47 casper-laptop kernel: [ 6140.278705] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=40348 DF PROTO=TCP SPT=57855 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:28:50 casper-laptop kernel: [ 6143.276084] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=40349 DF PROTO=TCP SPT=57855 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:28:52 casper-laptop kernel: [ 6145.346359] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=30460 DF PROTO=TCP SPT=57856 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:28:55 casper-laptop kernel: [ 6148.344086] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=30461 DF PROTO=TCP SPT=57856 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:28:57 casper-laptop kernel: [ 6150.382673] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=37343 DF PROTO=TCP SPT=57857 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:29:00 casper-laptop kernel: [ 6153.380082] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=37344 DF PROTO=TCP SPT=57857 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:29:02 casper-laptop kernel: [ 6155.442005] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=23394 DF PROTO=TCP SPT=57858 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0 Jun 22 13:29:18 casper-laptop kernel: [ 6170.575864] [UFW BLOCK] IN= OUT=eth0 SRC=192.168.1.10 DST=212.27.38.253 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=5669 DF PROTO=TCP SPT=57861 DPT=554 WINDOW=5840 RES=0x00 SYN URGP=0

Merci de votre aide.

Bonjour,

C’est l’OS qui attribut un port et il ne doit pas être occupé par une application.

Pourquoi bloqué le OUT avec un firewall sous Linux (ou BSD) ?
Le firewall ouvre un port à toutes les applications.

Pour le IN, très dur aussi dans le cadre de l’allocation de port dynamique par l’OS et l’application.
S’il y a beaucoup d’applications qui communiquent avec l’extérieure, les ports de l’application peuvent être haut et explique la large bande.
De plus, certaines applications demandent beaucoup de ports, car il y a beaucoup de connexions (par exemple pour le P2P)

Je pense que c’est très difficile à faire “correctement”, car ce ne sont pas des firewalls applicatifs sous Linux, comme ufw.
Une règle (ou plusieurs) pour une application, les autres étant bloqués.

Je pense que la solution proposé avec l’IP destination pour le IN est la plus facile (là seule ?) à mettre en oeuvre.

Pour le out, je serai plutôt pour ne pas mettre de règle dans le firewall.

Certains soft peuvent utiliser UDP au lieu de TCP. Une large plage en UDP veut mieux que la même plage en TCP.

Edit : j’ai eu un peu de mal à retrouver la signification des logs ufw

Ce que cela donne pour ton cas, vlc essaie de se connecter à un port de ta machine pour aller à une IP avec un port, cela donne :
IP de ta machine “SRC=192.168.1.10” IP destination “DST=212.27.38.253” protocole utilisé TCP “PROTO=TCP” port source “SPT=57853” port destination “PT=554”

Comme le port 57853 de ta machine est bloqué, il monte d’un port, 2 logs suivants = 57854
Puis, pareil, 2 log suivants = 57855
etc…

Bonsoir,

[quote]Je pense que la solution proposé avec l’IP destination pour le IN est la plus facile (là seule ?) à mettre en oeuvre.
[/quote]
Tu veux dire :
[21] Anywhere ALLOW IN 212.27.38.253/udp [22] Anywhere ALLOW IN 212.27.38.253/tcp

Je l’ ai déjà fait, cela ne fonctionne pas.
Bonne soirée.

Bonjour,

Et pas de OUT dans tes règles pour cette IP ?

Seulement si l’application n’en demande pas un particulier.

Ce sont les logs classiques d’iptables, produits par des règles avec la cible LOG créées par ufw.
Ici on voit des paquets TCP sortants par eth0 émis à destination du port 554 de l’adresse 212.27.38.253 qui sont bloqués. Donc il faut autoriser les connexions sortantes en TCP à ce port du freeplayer.

Seulement si l’application n’en demande pas un particulier.[/quote]

Oui, tout a fait.

Ce sont les logs classiques d’iptables, produits par des règles avec la cible LOG créées par ufw.[/quote]

Pff, même pas penser à cette solution, merci

Bonjour à tous,

[quote]Ici on voit des paquets TCP sortants par eth0 émis à destination du port 554 de l’adresse 212.27.38.253 qui sont bloqués. Donc il faut autoriser les connexions sortantes en TCP à ce port du freeplayer.
[/quote]

Ils le sont, ou alors je m’ y suis mal pris :

Bon week end.

Ils le sont, ou alors je m’ y suis mal pris :

Non, IN c’est les paquets entrants. Pour autoriser les paquets sortants il faut que ça soit du OUT.

Bonjour,

Voici le man de ufw : wiki.ubuntu.com/UncomplicatedFirewall

Pour la version de ufw, cela va dépendre si tu es sur stable, testing ou sid.

Bonsoir,

J’ ai donc rajouté ces deux lignes :

sudo ufw allow proto udp to 212.27.38.253 sudo ufw allow proto tcp to 212.27.38.253
Sans plus de succès.

Bonjour,

J’ai fait des essais avec gufw (règle “avancé”) pour voir ce que cela donne pour TCP (ufw status) :
Anywhere ALLOW IN 212.27.38.253/tcp
212.27.38.253/tcp ALLOW OUT Anywhere

Anywhere peut être remplacé par l’IP de ta machine.

Voilà pour TCP et UDP :
Anywhere ALLOW IN 212.27.38.253
212.27.38.253 ALLOW OUT Anywhere

Edit : Voilà ce que cela donne dans le fichier /lib/ufw/user.rules

tuple ### allow tcp any 0.0.0.0/0 any 212.27.38.253 in

-A ufw-user-input -p tcp -s 212.27.38.253 -j ACCEPT

tuple ### allow tcp any 212.27.38.253 any 0.0.0.0/0 out

-A ufw-user-output -p tcp -d 212.27.38.253 -j ACCEPT

Salut,
J’ n’ arrive pas à configurer gufw tel que tu me l’ indique.
Je me mets en configuration avancée. Je selectionne allow -> in -> TCP -> 212.27.38.253 . Je mets quoi à la petite case d’ après ? Pour destination, si je mets anywhere ce n’ est pas accepté.

Anywhere ALLOW IN 212.27.38.253 212.27.38.253 ALLOW OUT Anywhere
Cela n’ équivaut pas à faire :

sudo ufw allow in anywhere 212.27.38.253 sudo ufw allow out anywhere 212.27.38.253

Merci beaucoup.