Maintien parasite de la connexion

[jibe]

Bonjour,

Une SME sur ligne commutée me pose problème : elle ne veut pas se déconnecter !!!

En analysant les logs, je vois une série de denylogs et de pings. Sûr qu'ils maintiennent la connexion !

Comment pourrais-je faire en sorte que seuls les paquets sortants maintiennent la connexion ? (la tempo de déconnexion devrait suffire pour surfer ou relever le courrier).

[Sebastien65]

Salut,

Ba moi je tourne sur une ligne commutée avec un RTC dessus... Et je tourne avec 24h/24

Bon j'ai des décos normalle... Avant pour maintenir la connexion j'utilisé fetchmail pour me rapatrier mes e-mails tous les 20 minutes... et ça marche impec...

Il me semble bien qu'une fois j'ai dépacé les 20heures de connexions en continue sans décos Sinon C environ 17heures maintenant... Enfin vaudrais que je re look ça pour voir la durée d'une connex si rien n'a bougé

Mais il me semble bien que tu peux spécifier la fréquence de connexion et de déconnexion de ta SME lors de l'install... Suivant les jours et tout et tout...

Sinon tu lance dans le crontab une commande qui te déco à une heure précise

[jibe]

Salut Sébastien65,

Merci pour ta réponse, mais il semble que tu aies compris à l'envers ! Je ne cherche pas à rester connecté, je veux me déconnecter.

Oui, on peut régler le temps qu'on reste connecté. Je l'ai réglé sur "court", ça fait 3 minutes normalement. Moi, je voudrais simplement que ma connexion tombe au bout de 3 minutes si aucun paquet ne sort de ma SME.

J'avais bien pensé à une commande lancée par cron, mais il faut que je reste connecté tant que des paquets sont émis (tant que quelqu'un surfe, par exemple), et que 3 minutes après que le dernier paquet soit parti, la connexion tombe.

Mon problème est donc de savoir comment SME maintient la connexion tant qu'une activité est décelée, et la fait tomber 3 minutes après, puis de changer cela pour que le maintien de la connexion ne soit plus assuré que par les paquets sortants.

[Sebastien65]

Heu oui si on veux... Je me suis mal exprimé aussi

Bon heu oui la je vois ce que tu cherches a faire mais je n'ai pas vraiment de solution

Je ne pense pas qu'avec le cron on puisse faire cela ça risque de foirer... Si tu envoi un paquet et que la tache du cron arrive a ce momment là, ba il va couper la connexion sans laisser le temps de finir le transfert du paquet

Peut être qu'il existe une solution, mais moi je ne la connais pas

[jibe]

Bon, j'avance un peu, mais je crois que je ne m'en sortirai pas sans un sérieux coup de main.

Je pense que ce qu'il me faut, c'est un filtre personnalisé inclu à /etc/diald.conf. Je vois à peu près comment le réaliser en théorie, mais en pratique, c'est plus dur ! En fait, c'est assez simple, puisque ce qui maintient ma connexion est ceci :

Code: Tout sélectionner

Jul 22 16:10:57 serveur-internet kernel: denylog:IN=ippp0 OUT= MAC= SRC=62.147.68.185 DST=62.147.73.75 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=7599 DF PROTO=TCP SPT=3887 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0
Jul 22 16:11:04 serveur-internet ipppd[1594]: rcvd [0][LCP EchoReq id=0x12 8d a5 63 28 fe 11 fd 22]
Jul 22 16:11:04 serveur-internet ipppd[1594]: sent [0][LCP EchoRep id=0x12 d2 0b a0 c8 fe 11 fd 22]
Jul 22 16:11:08 serveur-internet kernel: denylog:IN=ippp0 OUT= MAC= SRC=62.147.68.185 DST=62.147.73.75 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=8839 DF PROTO=TCP SPT=3487 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0
Jul 22 16:11:11 serveur-internet kernel: denylog:IN=ippp0 OUT= MAC= SRC=62.147.68.185 DST=62.147.73.75 LEN=48 TOS=0x00 PREC=0x00 TTL=124 ID=9171 DF PROTO=TCP SPT=3487 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0
Jul 22 16:11:14 serveur-internet ipppd[1594]: rcvd [0][LCP EchoReq id=0x13 8d a5 63 28 00 12 4e 06]
Jul 22 16:11:14 serveur-internet ipppd[1594]: sent [0][LCP EchoRep id=0x13 d2 0b a0 c8 00 12 4e 06]
Jul 22 16:11:24 serveur-internet kernel: denylog:IN=ippp0 OUT= MAC= SRC=62.147.44.207 DST=62.147.73.75 LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=27300 DF PROTO=TCP SPT=4390 DPT=445 WINDOW=8760 RES=0x00 SYN URGP=0


Donc, en gros, des pings et des tentatives de connexion arrivant de l'extérieur. Je voudrais que tout ça ne me maintienne pas la connexion active, sachant que :
- Il est bien pratique, pour vérifier que la connexion s'établit correctement, de pouvoir lancer un ping depuis le serveur. Je voudrais donc si possible que ceux qui sortent établissent et maintiennent la connexion (c'est le cas actuel), mais pas ceux qui entrent.
- La majeure partie des denylog se fait sur des @IP 62.147.x.x : au besoin, on pourrait peut-être ne filtrer que celles-là. Mais je pense qu'il y a moyen de faire la différence entre des paquets "utiles" (www etc.) et des tentatives de log arrivant de l'extérieur (à priori, il ne devrait jamais y en avoir) ?

Voilà... Donc mes questions sont :

1. Est-ce la bonne méthode que de mettre des règles dans diald.conf ou dans un fichier à part appelé par diald.conf ?
2. Comment écrire ces règles ?
3. /etc/diald.conf est-il templatisé ? D'habitude, c'est indiqué en début de fichier, et pas là !!! Bon, ce n'est pas le principal, je devrais pouvoir trouver. Juste pour confirmation au cas où je ne trouve pas de template...

[Gaston]

Bonjour,

1. Est-ce la bonne méthode que de mettre des règles dans diald.conf ou dans un fichier à part appelé par diald.conf ?

Je ne pense pas, /etc/diald.filter est là pour paramétrer les règles de tempo et autres

2. Comment écrire ces règles ?

là je sais pas, en t'inspirant de diald.filter ? Je peux chercher + loin si tu y arrives pas - pas beaucoup de temps ...

3. /etc/diald.conf est-il templatisé ? D'habitude, c'est indiqué en début de fichier, et pas là !!! Bon, ce n'est pas le principal, je devrais pouvoir trouver. Juste pour confirmation au cas où je ne trouve pas de template...

su ma sme 5.6 c'est templatisé tout ça ;(

Code: Tout sélectionner

[root@bccs34 etc]# ll /etc/e-smith/templates/etc/diald
total 4
drwxr-xr-x    2 root     root         4096 Dec 31  2003 link
[root@bccs34 etc]# ls -l /etc/e-smith/templates/etc/diald*
/etc/e-smith/templates/etc/diald:
total 4
drwxr-xr-x    2 root     root         4096 Dec 31  2003 link

/etc/e-smith/templates/etc/diald.conf:
total 60
-rw-r--r--    1 root     root           45 Feb 15  2002 accounting-log
-rw-r--r--    1 root     root          361 Feb 15  2002 connect
-rw-r--r--    1 root     root           19 Feb 15  2002 connect-timeout
-rw-r--r--    1 root     root          297 Feb 15  2002 device
-rw-r--r--    1 root     root          268 Feb 15  2002 disconnect
-rw-r--r--    1 root     root           26 Feb 15  2002 fifo
-rw-r--r--    1 root     root           26 Feb 15  2002 filter
-rw-r--r--    1 root     root           19 Feb 15  2002 linkname
-rw-r--r--    1 root     root           19 Feb 15  2002 local
-rw-r--r--    1 root     root          263 Feb 15  2002 options
-rw-r--r--    1 root     root          392 Feb 15  2002 pppd-options
-rw-r--r--    1 root     root           18 Feb 15  2002 redial-timeout
-rw-r--r--    1 root     root           15 Feb 15  2002 remote
-rw-r--r--    1 root     root           14 Feb 15  2002 retry-count
-rw-r--r--    1 root     root           13 Feb 15  2002 speed

/etc/e-smith/templates/etc/diald.filter:
total 32
-rw-r--r--    1 root     root         6493 Feb 15  2002 20office
-rw-r--r--    1 root     root         6514 Feb 15  2002 40outside
-rw-r--r--    1 root     root         6448 Feb 15  2002 60weekend
-rw-r--r--    1 root     root          400 Feb 15  2002 template-begin
-rw-r--r--    1 root     root          140 Feb 15  2002 template-end
[root@bccs34 etc]#


A+
G.

[jibe]

Salut,

Merci pour ta réponse, Gaston !

1. Est-ce la bonne méthode que de mettre des règles dans diald.conf ou dans un fichier à part appelé par diald.conf ?

Je ne pense pas , /etc/diald.filter ets là pour paramétrer les règles de tempo et autres

Ben, oui, mais justement, je voudrais que la connexion cesse lorsqu'il n'y a plus de raisons de la maintenir, mais je pense que les échanges de paquets (pings et tentatives de connexion) la maintiennent en relançant à chaque fois la tempo (paquet échangé = attendre 3 mn avant de déconnecter).

Je pensais donc que de dire à diald de ne pas tenir compte de certains paquets résoudrait mon problème...

Si ce n'est pas la bonne méthode, quelle serait celle à adopter ?

là je sais pas, en t'insiprant de diald.filter ? Je prux chercher + loin si tu y arrives pas - pas beaucoup de temps ...

En fait, je cherche simplement à savoir comment ne filtrer que les pings entrant et les tentatives de login venant de l'extérieur.

Voilà le filtre que je pensais faire :

Code: Tout sélectionner

# /etc/diald/personal.filter
#
# Les pings entrant n'activent pas la connexion

ignore icmp icmp.dest=any

# Les demandes DNS ne maintiennent pas la connexion

ignore tcp tcp.dest=tcp.domain
ignore tcp tcp.source=tcp.domain

# Les login extérieurs rejetés ne maintiennent pas la connexion

??? Là, je ne sais pas comment faire :-( ???
(il n'y aura jamais de logins exterieurs, il n'est donc pas obligatoire de faire la différence rejetés/acceptés)


Je ne suis pas sûr que ce soit bon pour les pings, et je ne sais pas comment faire pour les logins : peut-on les reconnaitre comme on sait reconnaitre tcp.www, tcp.domain etc ? Je n'arrive pas à trouver les options tcp.xxx possibles et laquelle éventuellement correspondrait à une tentative de login.

[Gaston]

Je pense que tu as trouvé tes regex au même endroit que moi : man diald-examples

A partir de là ta règle pour icmp ne fonctionnera pas

Code: Tout sélectionner

       The ICMP packet header variables are:
           icmp.type            icmp packet type
           icmp.code            icmp packet code
           icmp.checksum        icmp packet checksum
           icmp.echo.id         icmp echo id
           icmp.echo.sequence   icmp echo sequence
           icmp.gateway         icmp gateway


je ne vois que la définition gateway qui pourriat être utile ...

je continue à chercher

G.
[edit] il y a un dfixhier de conf sympa : http://pachome1.pacific.net.sg/~harish/ ... onfig.html , ça peut donner des idées ... [/edit]

[jibe]

Je pense que tu as trouvé tes regex au même endroit que moi : man diald-examples

Ben... non ! Je ne connaissais pas ce man J'y cours !
J'ai pris mon code dans le diald-Howto et j'ai (mal, apparemment ) extrapolé...

A partir de là ta règle pour icmp ne fonctionnera pas

A la limite, ce n'est pas une catastrophe. J'aime pouvoir faire un ping pour tester la connexion, mais je pourrais m'en passer et bloquer tous les pings, entrants comme sortants.

je ne vois que la définition gateway qui pourriat être utile ...

Que veux-tu dire par là ?

je continue à chercher

Vraiment sympa de ta part !

il y a un dfixhier de conf sympa : http://pachome1.pacific.net.sg/~harish/ ... onfig.html , ça peut donner des idées ...

J'y cours aussi ! Re-

[Gaston]

je sèche.

As tu essayé d'installer la contrib dialup ? il semblerait qu'il y ait des possibilités de définir des règles
il y a aussi dialmonqui permet de gérer le up/down de la connexion ...
[edit] lien corrigé [/edit]

Une partie de config pour laquelle tout le monde à l'air d'être d'accord est

Code: Tout sélectionner

# Don't bring up on domain name requests between two running nameds.
#ignore udp udp.dest=udp.domain,udp.source=udp.domain
# Bring up the network whenever we make a domain request from someplace
# other than named.
accept udp 30 udp.dest=udp.domain
accept udp 30 udp.source=udp.domain
# Do the same for netbios-ns broadcasts
# NOTE: your /etc/services file may not define the netbios-ns service
# in which case you should comment out the next three lines.
ignore udp udp.source=udp.netbios-ns,udp.dest=udp.netbios-ns
accept udp 30 udp.dest=udp.netbios-ns
accept udp 30 udp.source=udp.netbios-ns
# keep routed and gated transfers from holding the link up
ignore udp tcp.dest=udp.route
ignore udp tcp.source=udp.route


Code: Tout sélectionner

## allez je rajoute ma sauce  :) y a pas de raison
ignore tcp tcp.dest=tcp.domain
ignore tcp tcp.source=tcp.domain


Pour l'icmp.gateway, c'est parce que sinon, avec les autres définitions, je ne vois pas comment signifer une adresse ou plage d'adresse. Il est vrai que j'ai pas tout compris des règles.

De plus, comme je fait de l'émulation de ta config sur mon neurone, ça sature un peu ...

A+
G.

[jibe]

Re...

Merci bcp, Gaston, de te pencher sur mon problème !

L'idée des contribs n'est pas mauvaise, mais je ne pense pas que j'arriverai à faire ce que je veux.
En fait, le lien sur dialmon me renvoie une erreur 404 et ce que je crois y correspondre est une sorte de commande sleep ( http://onegeek.org/~tom/software/delay ).

De mon côté, j'épluche consciencieusement les docs que je peux trouver (en fait, on va chercher loin, et le man que tu m'as indiqué est un des trucs les plus intéressants que j'ai lu sur le sujet).
J'en arrive à la conclusion qu'il doit être assez simple de faire ce que je veux, et que pour cela il suffirait que je puisse comparer avec l'@IP externe du serveur... Mais le problème, c'est que je ne sais pas comment l'introduire dans les règles de filtrage de diald... Il parait simple de travailler avec les @IP, mon problème est de connaitre la mienne !

[jibe]

@Gaston :

J'ai oublié de te dire, pour les règles de filtrage que tu me proposes : Ca éliminera probablement beaucoup de choses qui pourraient maintenir la connexion, mais moi, ce qui la maintient, ce sont :
- des pings
- des tentatives de connexion
comme le montre l'extrait de log que j'ai posté plus haut. Mais cela, tes règles n'y feront rien !

Il est vrai que j'ai aussi parfois beaucoup de demandes DNS, et là, ce que tu proposes sera probablement utile, voire indispensable !

En tous cas, une fois de plus merci pour ton aide !

[jibe]

Ouuuff ! Ca y est ! Je crois que c'est le truc sur lequel j'ai le plus galéré ! Pas évident de trouver de la doc là-dessus. Bon, je crois que je vais faire un petit howto. En attendant, ceux qui auraient besoin de savoir comment déterminer ce qui maintient leur connexion et de solutionner le problème peuvent m'envoyer un MP.

En gros, c'était bien ces trames que je voyais passer qui maintenaient ma connexion. Il y en avait de plusieurs sortes, beaucoup envoyées par free (volontaire ou non ? On peut se demander pourquoi des trames SYN et RST passent régulièrement, sans qu'il n'y ait aucune activité sur les clients... et avec un petit ping de temps en temps...). Le filtrage n'est pas très évident, parce qu'il n'est aucunement question de certaines trames dans tous les exemples de filtres que j'ai pu voir, Et après, il faut encore faire ça dans les règles sur la SME, avec le fichier des règles qui est généré par trois scripts dans les templates.

[jibe]

Bon, apparemment, j'ai crié victoire trop vite !

Ce qui semblait (parfois à mon étonnement d'ailleurs) bien marcher chez moi sur une connexion RTC n'est pas aussi bon sur la ligne numéris du client...

Tout d'abord, vous pouvez voir ici ce que j'ai fait comme filtrage, dans une ébauche de howto que je pensais faire, mais je vais attendre pour ça que le problème soit vraiment résolu .

En fait, il semble que certains paquets SYN soient bien indispensable à l'établissement et au maintien de la connexion dans des conditions normales de navigation. Mais comme ce sont aussi des paquets SYN qui me la maintiennent même sans activité des postes clients, j'avoue que je ne sais plus bien quoi faire...

Mais il y a peut-être autre chose qui intervient... J'ai eu à intervenir sur la boite aux lettre du client chez son FAI, et impossible de me connecter au webmail, y compris filtres diald remis d'origine... Quelques coups de tcpdump plus tard, je me pose beaucoup de questions : les requêtes https (le webmail est en https) sont lancées avec l'@IP du poste client !!! Le technicien du FAI avait quelques doutes sur mon firewall, et là, bien sûr, il me dit que j'ai un gros problème . Et moi, je me mets à douter aussi de mon firewall et à me demander si les trames bizarres qui maintiennent ma connexion ne viennent pas d'un joli trou de sécurité ?

Or, c'est une SME 6.01-01 sur laquelle les seules modifs effectuées sont le filtrage diald dont j'ai parlé et l'installation d'une récupération multipop avec filtrage selon la méthode de spox.

Comme je n'ai pas fait d'autres installations de 6.01, je ne sais trop qu'en penser. Bon, je vais essayer de libérer une bécane et refaire la même install pour éplucher le firewall, mais je me dis qu'il doit bien y avoir quelqu'un qui a déjà rencontré le problème ? Ca m'aiderait d'autant plus que, si je me débrouille un peu avec ipchains, je ne connais pas iptables...

[Edit] modification d'une url mal prise en compte [/edit]

[guytou]

Salut

j' ai deja eu le meme pb avec un routeur externe en numeris (alors ne casse pas tout de suite ton sme).

tu ne serais pas chez free par hazard ???.

je te pose la question car j'ai eu le cas chez un client et j'ai demontrer en maquette qu'il y avait un pb chez free.

A+