un ping qui ne résout pas les noms de domaine

[farco]

Ben tout est marqué dans le sujet, j'ai une passerelle Red Hat 9, et j'ai besoin de ddclient pour faire mes mises a jour, sauf que j'ai mon ping qui refuse de faire correctement son boulot. Il ping une adresse sans probleme, mais dès que je fais "ping www.ixus.net", il me répont qu'il ne peut pas résoudre le nom de domaine ...

Le probleme ne se pose que sur la machine linux, j'ai un sous réseau derriere tout ca, et le ping fonctionne nickel

J'ai loupé quoi lors de mon install ??

Merci a vous

[mul]

ta bien indiqué les serveurs DNS /etc/resolv.conf ?

[farco]

Presque mon capitaine

J'ai changé ipchains pour iptable, et quand je mets quelque chose dans mon /etc/resolv.conf, le firewall il explose. J'ai un 2° resolv.conf, dans /etc/ppp/resolf.conf, et celui la il contient mes DNS
Quand j'utilise ce 2°, j'ai tout qui fonctionne, le surf, emule, les mails .... sauf que j'arrive pas à résoudre les DNS en local

J'ai l'impression que j'ai 2 firewall qui se lancent, le 1° ne prend pas en compte mes filtres, mais il se lance et le 2° se lance, en prenant mes filtres ... et c'est là que ca vrille

[lacertus]

Tu vérifier la régle pour la boucle local

[MoiCVincent]

Presque mon capitaine

J'ai changé ipchains pour iptable, et quand je mets quelque chose dans mon /etc/resolv.conf, le firewall il explose. J'ai un 2° resolv.conf, dans /etc/ppp/resolf.conf, et celui la il contient mes DNS
Quand j'utilise ce 2°, j'ai tout qui fonctionne, le surf, emule, les mails .... sauf que j'arrive pas à résoudre les DNS en local

J'ai l'impression que j'ai 2 firewall qui se lancent, le 1° ne prend pas en compte mes filtres, mais il se lance et le 2° se lance, en prenant mes filtres ... et c'est là que ca vrille

Queceque tu entend par le firewall il explose ?

Comment ca deux firewalls ?

Poste le script de configuration de ton firewall pour voir !

@+
Vincent

[farco]

Salut tout le monde

Quand je dis que mon firewall explose, il se bloque, il se fige, tout simplement, et plus rien ne bouge
Je n'ai meme pas le shell de démarrage, je n'ai aucun controle clavier, je peux plus rien faire

Pour être plus précis, quand il se lance, il exécute les scripts de config, et quand il arrive aux paramètres ISP SERVERS, aux connexions SMTP, POP et compagnie, il reste bloqué, parce que dans le script firewall.conf.iptables, c'est marqué SMTP_SERVER="smtp.tele2.fr"..... Le problème semble bien lié au faut que ma passerelle n'est plus capable de résoudre les noms de domaine. Et pourtant, mes machines derrière la passerelle sont parfaitement capables de travailler, et de résoudre

[golodh]

pour la résolution de noms , il te faut les resolv.conf adéquats ainsi que le nsswitch.conf avec la ligne hosts: à "files dns"

j'espère que ça peut te servir ....
a+
gld

[farco]

Bon, j'ai tout revérifié, et comme j'ai pas vu d'erreur dans mon script de firewall, j'ai fait des essais, et j'ai peut etre trouvé un truc

Avant de lancer mon firewall, je ping tout très bien depuis ma passerelle, ensuite, dans mon script, j'ai une remise à zéro des paramètres IPTABLES

IPTABLES -F
IPTABLES -F -t NAT
IPTABLES -F -t MANGLE

Je précise, j'ai rien d'autre avant, ca ceux sont les 1° instructions de mon script. Et suite à ça, je perds mon ping, unknow host......

En allant jusqu'à la fin de mon script, tout s'initialise bien, j'ai mon sous réseau, je surf, je ping depuis mes machines, mais toujours pas de résolution de nom depuis la passerelle. Sale bète

Mais apparement, c'est pas le seul problème, ca plante encore

La seule solution (que j'ai actuellement) est de rebooter la machine et de ne pas lancer le firewall si je veux résoudre

Est-il possible que des paramètres IPTABLES soient passés par défaut dans les params du démarrage ??

Le fichier resolv.conf est correct

Comme le script est assez grand, je vais le mettre sur un ftp, ca sera plus propre

http://farco.free.fr/firewall/firewall

[Methos_Hi]

J'ai lu rapidement le script.
Les règles iptables relatives à la résolution dns sont conditionnées par des variables qui doivent être positives. Ces variables sont-elles initialisées?

Peux tu confirmer que les sections, qui te concerne en terme de dns, s'exécutent ?

[farco]

oui, absolument, les variables sont affectées correctement
au cas ou je laisse le fichier conf sur le site

http://farco.free.fr/firewall/firewall.conf.iptables

La passerelle fonctionnait avant avec ce meme firewall

La seule différence c'est que maintenant la plateforme est une Red Hat 9 au lieu de 7.2
Enfin, différence volontaire, le fait que je puisse plus pinger quand j'ai le firewall activé n'est pas volontaire, mais normalement les installs sont identiques

[Methos_Hi]

peut-être qu'entre la 7.2 et la 9.2, les fichiers qui sont renseignés par des "echo 1 > 'fichier'" ne sont plus au même endroit dans l'arborescence.
Le problème c'est que il est possible que la commande en question les ait créé mais qu'ils ne soit pas utilisés par le système.

Le fait que çà marchait avec la 7.2 n'est pas une information suffisante.

est-ce qu'en "verbose" 'firewall: DNS client enabled' s'affiche par exemple?

[farco]

oui oui, Firewall : DNS client enabled, ainsi que tous les autres Echo du script

J'ai vérifié, tous les fichiers prévus dans le script existent bien, au meme endroit que ce qui est demandé

C'est bien ca le pire, c'est que tout passe, tout s'initialise, mais lors du RAZ des params par défaut par le firewall, je perds ma capacité a pinger

[tomtom]

tcpdump....
rien ne vaut un sniffer dans ces cas là !

A tous les coups le port source du dns est trop bas et ca bloque....
test simple :

iptables -I OUTPUT - p tcp --dport 53 -j ACCEPT
iptables -I OUTPUT -p udp --dport 53 - j ACCEPT
iptables -I INPUT -p tcp --sport 53 -J ACCEPT
iptables -I INPUT -p udp --sport 53 -J ACCEPT

Si ca marche apres, c'est que tu as un soucis de règles.

Autre chose, est-ce qu'une resolution directe (avec host) fonctionne ?


t.

[farco]

J'ai suivi vos conseils et j'ai regardé de très près mon script.
J'ai du faire un peu de ménage et j'ai du mettre ces lignes la en commentaire :


iptables -F -t nat

iptables -F INPUT DROP
iptables -F OUTPUT DROP
iptables -F FORWARD DROP

iptables -X
iptables -X -t nat
iptables -X -t mangle

iptables -A INPUT -i $EXTERNAL_INTERFACE -d $EXTERNAL_NETWORK -j DROP
iptables -A INPUT -i $EXTERNAL_INTERFACE -d $BROADCAST_NET -j DROP
iptables -A INPUT -i $EXTERNAL_INTERFACE -d 255.255.255.255 -j DROP

iptables -A INPUT -i $LOOPBACK_INTERFACE -j accept
iptables -A OUTPUT -i $LOOPBACK_INTERFACE -j accept

Le firewall est beaucoup plus rapide à se lancer puisque maintenant il reconnait les noms de domaines
Le ping refonctionne, le host aussi

Bon j'ai récupéré mes log_martians, mais je vais m'en occupé rapido

Si vous avez une idée sur les lignes que j'ai du supprimer, je suis preneur, j'aimerai quand meme comprendre pourquoi

Le fait d'avoir supprimer tout ca, est ce que ca va avoir une incidence sur l'efficacité du firewall ??
En tout cas, un grand merci à vous tous pour le coup de main

Farco

[tomtom]

iptables -F -t nat

iptables -F INPUT DROP
iptables -F OUTPUT DROP
iptables -F FORWARD DROP

Attention, supprimer ces lignes met les policys des tables à ACCEPT, ce qui n'est pas une bonne idée.

Quelquechose d mieux serait de positionner les règles que j'ai données plus haut, afin d'autoriser les resolutions dns tout en refusant le reste.

PArmi les problèmes que je vois, par rapport à ton script, il y a :

- le fait que la RH utilise un port source inferieur à 1024 pour attaquer un dns (j'ai deja vu par exemple source 53 destination 53), et dans ce cas serait bloqué par votre script

- il est aussi possible que la RH utilise une resolution en tcp pour le dns, car il ne faut pas oublier que le dns utilise à la fois tcp et udp port 53. Dans ce cas, il suffirait d'autoriser la sortie en tcp sur port 53...

t.