Problème accès internet MNF...

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Problème accès internet MNF...

Messagepar epolet » 13 Mai 2004 13:27

Bonjour à tous :)

J'ai un fw MNF qui tourne très bien depuis quelques mois ; or de temps en temps, il me bloque mon accès internet sur quelques postes de mon LAN (pas tous ...). :?

Apparemment juste les requêtes DNS sont bloquées, puisque j'ai accès à mon serveur de mail (en frontal de l'autre côté de mon FW, côté WAN), et je peux le pinguer sans problème. Le fait de redémarrer ma machine client, ou de changer son IP (privée) à chaud (windows 2000 pro) me permet de recommencer à surfer (pour un temps en tout cas...).

Notez que mes IP sont configurées en statique (pas de DHCP, seulement 10 postes).

J'ai noté à la fin de mon fichier de log ("messages" dans /var/log/) les deux lignes suivantes que je trouve bizarre :
- hostname msec: changed mode of /etc/rc.d/init.d/shorewall from 751 to 740
- hostname msec: changed mode of /var/log/httpd-naat from 750 to 700

J'ai beau redémarrer le service shorewall, rien n'y fait, mais clients n'ont plus accès au net tant qu'ils ne redémarrent ou changent l'IP de leur machine. :(

Quelqu'un aurait-il une idée de ce qui se passe ?

Merci pour votre aide :)
Avatar de l’utilisateur
epolet
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 13 Mai 2004 13:14

Messagepar Jacques- » 13 Mai 2004 14:05

Pas beaucoup d'idée non, pour ce qui est de modifs faites par msec, il s'agit du script de sécurité de mandrake, tous les fichiers en écriture ou exécution pour les autres (Others) sont systématiquement remis avec des droits accordant une sécurité suffisante.

Sinon, regarde plutôt les logs dans syslog concernant shorewall, si tes clients sont bloqués il est intéressant de voir si les paquets sont droppés et quelle règle le fait.
Tu peux aussi ouvrir au niveau des règles le port 53 (domain dans l'interface) pour le DNS en mode TCP, il m'est arrivé d'avoir des délais plus que conséquent sous W2k avec uniquement UDP d'autorisé. Ce n'est pas logique de faire des requêtes TCP pour autre chose qu'un transfert de zone à mon sens, mais on ne maitrise pas grand chose sous W2k.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron