Soucis de DNS avec BOT

[ultramedecine]

Bonjour,

J'ai un problème avec BlockOutTraffic v2.3.2b3.

Voici tout d'abord mon architecture :
Internet - Modem - 192.168.0.0/24 - IPCop1(v1.4.16) - 192.168.1.0/24 - IPCop2(v1.4.18 ) - 192.168.2.0/24 - Moi

Les parametres IP :
Modem Routeur Linksys :
RED : Mon FAI
GREEN : 192.168.0.1/24

IPCop1 :
RED : 192.168.0.100/24 ; Passerelle 192.168.0.1 ; DNS 192.168.0.1
GREEN : 192.168.1.1/24

IPCop2 :
RED : 192.168.1.100/24 ; Passerelle 192.168.1.1 ; DNS 192.168.1.1
GREEN : 192.168.2.1/24

L'IPCop1 est en production et au service d'une 15aine de personnes.
L'IPCop2 est en test et à mon service.

Cet IPCop2 abrite BOT (et d'autres modules désactivés pour l'instant), configuré pour laisser passer certains ports (Web, Mail, Ftp). Les limitations fonctionnent très bien, et les autorisations fonctionnent tout aussi bien.

Mais il y a un mais .
Après un redémarrage de l'IPCop2, aucune résolution DNS ne se fait. Je peux effectuer des pings, des traceroutes, des telnets sur toutes les adresses IP (aussi bien 192.168.2.0/24 que 192.168.1.0/24 que le reste du monde).
Par contre, si je ne connais pas l'adresse IP d'un serveur de Google/Yahoo/Autre, pas de ping/telnet/surf possible.

De là, si j'arrete BOT puis le redémarre dans la seconde, tout fonctionne nickel ! Je peux surfer sans soucis, tout se passe bien, les résolutions de noms ont lieu. Je n'ai donc pas touché à la moindre règle (d'où leur absence de ce message).
De plus, l'absence de la règle autorisant l'accès au service domain-53 ne bloque pas le surf.

Il y a un morceau dans la résolution de nom qui m'échappe, et surtout le fait faire un marche-arret brutal de BOT règle le problème jusqu'au prochain démarrage d'IPCop2.

Second point de vue sur la situation :
Si je ne touche pas à IPCop mais si je redémarre mon ordinateur, le problème recommence. Donc mon ordinateur n'arriverai pas à trouver "son propre serveur de nom "... Mais si je relance BOT, tout fonctionne.

Je ne comprends pas ce qui manque donc...
Qu'en pensez vous ? Que souhaitez vous comme renseignements supplémentaire pour vous aiguiller ?

Merci et bonne journée .

[ccnet]

Je ne sais pas trop ce que vous voulez tester. Tout ce que je sais c'est que cette configuration est proche d'une configuration à enm... . Entre les deux ipcop et la façon dont votre modem est configuré (en routeur en fait), il n'y a pas moins de 3 translations successives entre internet et votre zone de test. Je n'ai rien contre mais pour y voir clair il y a mieux.

Quels sont les dns indiqués sur RED lors de la configuration de ipcop2 ?

De plus, l'absence de la règle autorisant l'accès au service domain-53 ne bloque pas le surf.

Il suffit que des infos soient présentes dans un cache, comme celui de votre machine cliente. On ne peut rien en conclure si ce n'est que le trafic http passe et c'est normal il est autorisé.

Je suggère que vous activiez les logs sur l'ensemble des règles BOT si il y en a et si il n'y en pas que vous mettiez explicitement, en bas, une règle qui bloque tout, puis au dessus les règles d'autorisation. Ensuite regardons les logs pour comprendre ce qui se passe vraiment.

Comment tout cela est il physiquement connecté ?

[ultramedecine]

Bonjour,

J'ai rajouté les informations dans le premier message...

J'ai ajouté la règle "tout bloquer" en dernière position, et malgré de nombreux redémarrage d'IPCop2 et de mon poste, tout fonctionne du premier coup . Tant mieux, mais je ne me l'explique pas.

Bonne journée.

[ultramedecine]

Ahahah !
Je viens de comprendre pourquoi cela fonctionnait : BOT était désactivé ! (Oui, j'ai super honte depuis que je m'ensuis rendu compte ).

Bon, je vais brancher mon deuxième IPCop directement sur le routeur et recommencer mon aventure d'une manière plus standard.

[ultramedecine]

Bonjour,

Après multiples tests, je ne comprends pas le truc...

Je suis déjà passé sur BOT version 3.0.0b3.

En règles, j'ai les préréglages suivant activés :
http - port 80
https - port 445
domain - port 53
netbios-ns - port 137
netbios-dgm - port 138
bootpc - port 68
bootps - port 67
Deux règles pour les pings echo-request et echo-reply

Puis une règle qui bloque tout en dernière position.

Et sur mon ordinateur, un nslookup m'indique que le serveur de nom est inaccessible.

Parler d'un problème à haute voix permet de voir l'erreur, et cette erreur me sautera alors au nez mais je ne saisi pas encore "le" truc .

[ccnet]

Et quand BOT est désactivé devient il accessible ?
Un dns peut être inaccessible simplement parce qu'il est stoppé ou que votre isp en a changé l'adresse ou encore selon votre abonnement (chez Orange ils sont très fort pour cela).

[ultramedecine]

Bonjour,

Oui, il est accessible en effet.

Je vais essayer d'ajouter un DNS d'Orange en paramètre DNS2 du DHCP. Peut-être que...

=> EDIT : Non, rien de rien, non, cela ne change rien !

Bonne journée .

[ultramedecine]

Bonjour,

J'ai décelé une erreur . Certains accès énoncés ci dessus étaient destinés au réseau vert, et pas à IPCop...

C'est l'impossibilité de me connecter en SSH sur le port 222 malgré son déblocage qui m'a mis la puce à l'oreille ! Le hasard fait bien les choses.

Un nslookup se comporte comme il faut. Et pour l'instant, tout fonctionne bien !






... Je suis content !