un ping qui ne résout pas les noms de domaine

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

un ping qui ne résout pas les noms de domaine

Messagepar farco » 11 Juil 2004 18:52

Ben tout est marqué dans le sujet, j'ai une passerelle Red Hat 9, et j'ai besoin de ddclient pour faire mes mises a jour, sauf que j'ai mon ping qui refuse de faire correctement son boulot. Il ping une adresse sans probleme, mais dès que je fais "ping www.ixus.net", il me répont qu'il ne peut pas résoudre le nom de domaine ...

Le probleme ne se pose que sur la machine linux, j'ai un sous réseau derriere tout ca, et le ping fonctionne nickel

J'ai loupé quoi lors de mon install ??

Merci a vous
farco
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 11 Juil 2004 18:43

Messagepar mul » 11 Juil 2004 18:56

ta bien indiqué les serveurs DNS /etc/resolv.conf ?
Tu t'es vu quand t'as bu ! XD
Avatar de l’utilisateur
mul
Vice-Amiral
Vice-Amiral
 
Messages: 847
Inscrit le: 21 Nov 2002 01:00
Localisation: Brest

Messagepar farco » 11 Juil 2004 19:49

Presque mon capitaine

J'ai changé ipchains pour iptable, et quand je mets quelque chose dans mon /etc/resolv.conf, le firewall il explose. J'ai un 2° resolv.conf, dans /etc/ppp/resolf.conf, et celui la il contient mes DNS
Quand j'utilise ce 2°, j'ai tout qui fonctionne, le surf, emule, les mails .... sauf que j'arrive pas à résoudre les DNS en local

J'ai l'impression que j'ai 2 firewall qui se lancent, le 1° ne prend pas en compte mes filtres, mais il se lance et le 2° se lance, en prenant mes filtres ... et c'est là que ca vrille
farco
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 11 Juil 2004 18:43

regle iptables

Messagepar lacertus » 11 Juil 2004 20:01

Tu vérifier la régle pour la boucle local
lacertus
Matelot
Matelot
 
Messages: 1
Inscrit le: 11 Juil 2004 19:59

Messagepar MoiCVincent » 11 Juil 2004 20:23

farco a écrit:Presque mon capitaine

J'ai changé ipchains pour iptable, et quand je mets quelque chose dans mon /etc/resolv.conf, le firewall il explose. J'ai un 2° resolv.conf, dans /etc/ppp/resolf.conf, et celui la il contient mes DNS
Quand j'utilise ce 2°, j'ai tout qui fonctionne, le surf, emule, les mails .... sauf que j'arrive pas à résoudre les DNS en local

J'ai l'impression que j'ai 2 firewall qui se lancent, le 1° ne prend pas en compte mes filtres, mais il se lance et le 2° se lance, en prenant mes filtres ... et c'est là que ca vrille



Queceque tu entend par le firewall il explose ?

Comment ca deux firewalls ?

Poste le script de configuration de ton firewall pour voir !

@+
Vincent
Noubliez pas , On est sur terre pour vivre !
Image
Avatar de l’utilisateur
MoiCVincent
Contre-Amiral
Contre-Amiral
 
Messages: 395
Inscrit le: 08 Jan 2004 01:00
Localisation: Normandie

Messagepar farco » 12 Juil 2004 13:58

Salut tout le monde

Quand je dis que mon firewall explose, il se bloque, il se fige, tout simplement, et plus rien ne bouge
Je n'ai meme pas le shell de démarrage, je n'ai aucun controle clavier, je peux plus rien faire

Pour être plus précis, quand il se lance, il exécute les scripts de config, et quand il arrive aux paramètres ISP SERVERS, aux connexions SMTP, POP et compagnie, il reste bloqué, parce que dans le script firewall.conf.iptables, c'est marqué SMTP_SERVER="smtp.tele2.fr"..... Le problème semble bien lié au faut que ma passerelle n'est plus capable de résoudre les noms de domaine. Et pourtant, mes machines derrière la passerelle sont parfaitement capables de travailler, et de résoudre
farco
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 11 Juil 2004 18:43

slt

Messagepar golodh » 12 Juil 2004 18:01

pour la résolution de noms , il te faut les resolv.conf adéquats ainsi que le nsswitch.conf avec la ligne hosts: à "files dns"

j'espère que ça peut te servir ....
a+
gld
Avatar de l’utilisateur
golodh
Premier-Maître
Premier-Maître
 
Messages: 55
Inscrit le: 14 Jan 2004 01:00

Messagepar farco » 16 Juil 2004 11:42

Bon, j'ai tout revérifié, et comme j'ai pas vu d'erreur dans mon script de firewall, j'ai fait des essais, et j'ai peut etre trouvé un truc

Avant de lancer mon firewall, je ping tout très bien depuis ma passerelle, ensuite, dans mon script, j'ai une remise à zéro des paramètres IPTABLES

IPTABLES -F
IPTABLES -F -t NAT
IPTABLES -F -t MANGLE

Je précise, j'ai rien d'autre avant, ca ceux sont les 1° instructions de mon script. Et suite à ça, je perds mon ping, unknow host......

En allant jusqu'à la fin de mon script, tout s'initialise bien, j'ai mon sous réseau, je surf, je ping depuis mes machines, mais toujours pas de résolution de nom depuis la passerelle. Sale bète

Mais apparement, c'est pas le seul problème, ca plante encore

La seule solution (que j'ai actuellement) est de rebooter la machine et de ne pas lancer le firewall si je veux résoudre

Est-il possible que des paramètres IPTABLES soient passés par défaut dans les params du démarrage ??

Le fichier resolv.conf est correct

Comme le script est assez grand, je vais le mettre sur un ftp, ca sera plus propre

http://farco.free.fr/firewall/firewall
farco
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 11 Juil 2004 18:43

Messagepar Methos_Hi » 16 Juil 2004 14:36

J'ai lu rapidement le script.
Les règles iptables relatives à la résolution dns sont conditionnées par des variables qui doivent être positives. Ces variables sont-elles initialisées?

Peux tu confirmer que les sections, qui te concerne en terme de dns, s'exécutent ?
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar farco » 16 Juil 2004 15:05

oui, absolument, les variables sont affectées correctement
au cas ou je laisse le fichier conf sur le site

http://farco.free.fr/firewall/firewall.conf.iptables

La passerelle fonctionnait avant avec ce meme firewall

La seule différence c'est que maintenant la plateforme est une Red Hat 9 au lieu de 7.2
Enfin, différence volontaire, le fait que je puisse plus pinger quand j'ai le firewall activé n'est pas volontaire, mais normalement les installs sont identiques
farco
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 11 Juil 2004 18:43

Messagepar Methos_Hi » 16 Juil 2004 15:20

peut-être qu'entre la 7.2 et la 9.2, les fichiers qui sont renseignés par des "echo 1 > 'fichier'" ne sont plus au même endroit dans l'arborescence.
Le problème c'est que il est possible que la commande en question les ait créé mais qu'ils ne soit pas utilisés par le système.

Le fait que çà marchait avec la 7.2 n'est pas une information suffisante.

est-ce qu'en "verbose" 'firewall: DNS client enabled' s'affiche par exemple?
Avatar de l’utilisateur
Methos_Hi
Amiral
Amiral
 
Messages: 1520
Inscrit le: 07 Fév 2004 01:00
Localisation: Ile de France

Messagepar farco » 16 Juil 2004 17:32

oui oui, Firewall : DNS client enabled, ainsi que tous les autres Echo du script

J'ai vérifié, tous les fichiers prévus dans le script existent bien, au meme endroit que ce qui est demandé

C'est bien ca le pire, c'est que tout passe, tout s'initialise, mais lors du RAZ des params par défaut par le firewall, je perds ma capacité a pinger
farco
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 11 Juil 2004 18:43

Messagepar tomtom » 16 Juil 2004 18:17

tcpdump....
rien ne vaut un sniffer dans ces cas là !

A tous les coups le port source du dns est trop bas et ca bloque....
test simple :

iptables -I OUTPUT - p tcp --dport 53 -j ACCEPT
iptables -I OUTPUT -p udp --dport 53 - j ACCEPT
iptables -I INPUT -p tcp --sport 53 -J ACCEPT
iptables -I INPUT -p udp --sport 53 -J ACCEPT

Si ca marche apres, c'est que tu as un soucis de règles.

Autre chose, est-ce qu'une resolution directe (avec host) fonctionne ?


t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar farco » 17 Juil 2004 10:55

J'ai suivi vos conseils et j'ai regardé de très près mon script.
J'ai du faire un peu de ménage et j'ai du mettre ces lignes la en commentaire :


iptables -F -t nat

iptables -F INPUT DROP
iptables -F OUTPUT DROP
iptables -F FORWARD DROP

iptables -X
iptables -X -t nat
iptables -X -t mangle

iptables -A INPUT -i $EXTERNAL_INTERFACE -d $EXTERNAL_NETWORK -j DROP
iptables -A INPUT -i $EXTERNAL_INTERFACE -d $BROADCAST_NET -j DROP
iptables -A INPUT -i $EXTERNAL_INTERFACE -d 255.255.255.255 -j DROP

iptables -A INPUT -i $LOOPBACK_INTERFACE -j accept
iptables -A OUTPUT -i $LOOPBACK_INTERFACE -j accept

Le firewall est beaucoup plus rapide à se lancer puisque maintenant il reconnait les noms de domaines
Le ping refonctionne, le host aussi

Bon j'ai récupéré mes log_martians, mais je vais m'en occupé rapido

Si vous avez une idée sur les lignes que j'ai du supprimer, je suis preneur, j'aimerai quand meme comprendre pourquoi

Le fait d'avoir supprimer tout ca, est ce que ca va avoir une incidence sur l'efficacité du firewall ??
En tout cas, un grand merci à vous tous pour le coup de main

Farco
farco
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 11 Juil 2004 18:43

Messagepar tomtom » 17 Juil 2004 11:32

farco a écrit:iptables -F -t nat

iptables -F INPUT DROP
iptables -F OUTPUT DROP
iptables -F FORWARD DROP



Attention, supprimer ces lignes met les policys des tables à ACCEPT, ce qui n'est pas une bonne idée.

Quelquechose d mieux serait de positionner les règles que j'ai données plus haut, afin d'autoriser les resolutions dns tout en refusant le reste.

PArmi les problèmes que je vois, par rapport à ton script, il y a :

- le fait que la RH utilise un port source inferieur à 1024 pour attaquer un dns (j'ai deja vu par exemple source 53 destination 53), et dans ce cas serait bloqué par votre script

- il est aussi possible que la RH utilise une resolution en tcp pour le dns, car il ne faut pas oublier que le dns utilise à la fois tcp et udp port 53. Dans ce cas, il suffirait d'autoriser la sortie en tcp sur port 53...

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron