Bonjour,
Depuis quelques temps et sans explication j'ai ce genre de messages :
Shorewall:FORWARD:REJECT:IN=eth0 OUT=eth0 SRC=192.168.1.2 DST=213.186.33.20 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=6789 DF PROTO=TCP SPT=1282 DPT=110 WINDOW=65535 RES=0x00 SYN URGP=0
Je l'ai également sur de l'udp en port 53 (soit dns). Egalement sur d'autre protocole. Et de plus souvent j'ai comme une réponse :
Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth1 SRC=213.186.33.20 DST=192.168.1.2 LEN=48 TOS=0x00 PREC=0x00 TTL=44 ID=0 DF PROTO=TCP SPT=110 DPT=1303 WINDOW=5840 RES=0x00 ACK SYN URGP=0
Ce qui est surprenant c'est d'une part l'apparition soudaine et d'autre part les src de mon réseau qui sont bien spécifiques Ca ne le fait pas sur toute ???.
Explication :
Mon réseau :
Deux classes C une en 192.168.1 et une en 192.168.2
Un proxy avec squid - shorewall
le proxy deux cartes réseau : eth0 : 192.168.1.252 (côté net) et eth 1 : 192.168.1.253 (côté lan) eth1-1 virtuel :192.168.2.253
A la base ce n'est pas moi qui est configurer le shorewall voici ces fichiers :
zones
net Net Internet zone
masq Masquerade Masquerade Local (je ne pige pas trop son utilité ??)
loc Local Local
policy
masq net ACCEPT
loc net ACCEPT
fw net ACCEPT
net all DROP info
all all REJECT info
rules
ACCEPT net fw udp 53,3128 -
ACCEPT net fw tcp 80,443,53,22,20,21,25,109,110,143,23,3128 -
ACCEPT masq fw udp 53,3128 -
ACCEPT masq fw tcp 80,443,53,22,20,21,25,109,110,143,23,3128 -
ACCEPT loc fw udp 53,3128 -
ACCEPT loc fw tcp 80,443,53,22,20,21,25,109,110,143,23,3128 -
ACCEPT masq fw tcp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT masq fw udp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT fw masq tcp 631,137,138,139 -
ACCEPT fw masq udp 631,137,138,139 -
REDIRECT loc 3128 tcp 80
interfaces
net eth0 detect
masq eth1 detect
De plus je ne sais pas si cela a son importance j'ai une règle nat en place :
iptables -t nat -A PREROUTING -m tcp -p tcp --dport 80 -j REDIRECT --to-port 3128
3128 étant le port de squid.
Voila si qulequ'un pouvait me donner quelques pistes ou solutions, merci.
pb shorewall reject
Modérateur: modos Ixus
10 messages
• Page 1 sur 1
pb shorewall reject
par dmartin » 04 Juil 2005 17:38
- dmartin
- Matelot
- Messages: 6
- Inscrit le: 04 Juil 2005 17:16
- Localisation: Limoges
par Franck78 » 05 Juil 2005 04:52
SAlut,
L'IP correspond à un serveur chez/connu de ovh.
;; AUTHORITY SECTION:
33.186.213.in-addr.arpa. 10800 IN SOA dns.ovh.net. tech.ovh.net. 2005021550 86400 3600 3600000 86400
C'est au moins un serveur de messagerie car on y trouve 25, 143 et 110 prèt à répondre.
* OK Welcome to Binc IMAP Copyright (C) 2002-2005 Andreas Aardal Hanssen at 2005-07-05 04:33:15 CEST
Tu as du activer quelquechose récemment comme fetchmail, ou autre chose apparenté avec la messagerie.
Ce qui déclenche un problème que ton FW reject. Je ne connais pas la syntaxe de shorewall, cependant ce que tu donnes comme script à l'air assez redondant et ouvert à tout va ! Qui produit ceci ?
Pas sur que eth0 et eth1 avec un même numéro de réseau facilite les choses !
Bye
L'IP correspond à un serveur chez/connu de ovh.
;; AUTHORITY SECTION:
33.186.213.in-addr.arpa. 10800 IN SOA dns.ovh.net. tech.ovh.net. 2005021550 86400 3600 3600000 86400
C'est au moins un serveur de messagerie car on y trouve 25, 143 et 110 prèt à répondre.
* OK Welcome to Binc IMAP Copyright (C) 2002-2005 Andreas Aardal Hanssen at 2005-07-05 04:33:15 CEST
Tu as du activer quelquechose récemment comme fetchmail, ou autre chose apparenté avec la messagerie.
Ce qui déclenche un problème que ton FW reject. Je ne connais pas la syntaxe de shorewall, cependant ce que tu donnes comme script à l'air assez redondant et ouvert à tout va ! Qui produit ceci ?
le proxy deux cartes réseau : eth0 : 192.168.1.252 (côté net) et eth 1 : 192.168.1.253 (côté lan) eth1-1 virtuel :192.168.2.253
Pas sur que eth0 et eth1 avec un même numéro de réseau facilite les choses !
Bye
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par dmartin » 06 Juil 2005 16:39
Fetchmail pas actif, j'ai désactivé sendmail mais toujours pareil.
Concernant l'ip c'est bien ovh l'hébergeur de notre messagerie.
Concernant le script (rules, policy...) je pensais les refaire en mettant juste le nécessaire.
Qui produit ceci ? je ne préfère pas en parler.
Tu dis : Pas sur que eth0 et eth1 avec un même numéro de réseau facilite les choses !
Je ne comprends pas, qu'entends-tu par numéro de réseau, leur IP ? Elle est différente.
De plus en ce moment il me fait plein de reject all2all in= out=eth1 src=ip local1 et dst=ip locale2.
Je commence à désespérer.
Concernant l'ip c'est bien ovh l'hébergeur de notre messagerie.
Concernant le script (rules, policy...) je pensais les refaire en mettant juste le nécessaire.
Qui produit ceci ? je ne préfère pas en parler.
Tu dis : Pas sur que eth0 et eth1 avec un même numéro de réseau facilite les choses !
Je ne comprends pas, qu'entends-tu par numéro de réseau, leur IP ? Elle est différente.
De plus en ce moment il me fait plein de reject all2all in= out=eth1 src=ip local1 et dst=ip locale2.
Je commence à désespérer.
- dmartin
- Matelot
- Messages: 6
- Inscrit le: 04 Juil 2005 17:16
- Localisation: Limoges
par Jacques- » 06 Juil 2005 19:46
Le proxy deux cartes réseau : eth0 : 192.168.1.252 (côté net) et eth 1 : 192.168.1.253 (côté lan)
Pour shorewall, les zones LAN et WAN doivent être différentes (et y'a pas que pour lui..). Hors les adresses de tes 2 cartes sont dans le même sous-réseau 192.168.1.0 et ce n'est pas trop étonnant que certains paquets se "trompent" de cartes pour sortir de la passerelle.
Mets tes réseaux LAN et WAN dans 2 sous-réseaux différents et tu ne devrais plus avoir ce genre de problème, ex : LAN en 192.168.1.0 et WAN en 192.168.2.0 avec un masque à 255.255.255.0 pour les 2 interfaces.
Jacques
Pour shorewall, les zones LAN et WAN doivent être différentes (et y'a pas que pour lui..). Hors les adresses de tes 2 cartes sont dans le même sous-réseau 192.168.1.0 et ce n'est pas trop étonnant que certains paquets se "trompent" de cartes pour sortir de la passerelle.
Mets tes réseaux LAN et WAN dans 2 sous-réseaux différents et tu ne devrais plus avoir ce genre de problème, ex : LAN en 192.168.1.0 et WAN en 192.168.2.0 avec un masque à 255.255.255.0 pour les 2 interfaces.
Jacques
-
Jacques- - Vice-Amiral
- Messages: 952
- Inscrit le: 23 Jan 2003 01:00
par dmartin » 07 Juil 2005 12:08
Le problème c'est que je peux pas trop car derrière j'ai un routeur qui fait du vpn et squid sur la même machine que le shorewall.
Le routeur a côté lan une ip en 192.168.1 (et ça je ne peux pas le modifier) donc eth0 doit être egalement en 192.168.1 si je veux que la connexion puisse se faire.
Hors le routeur est utilisé par des machines en connexion directe sans passer par le proxy. Ces même machines devant également pour voir se connecter avec des machines qui utilisent le proxy
Ce qui fait que eht1 doit également être en 192.168.1
Mais bon je viens de résoudre, comme ma machine fait proxy j'ai changé le shorewall.conf en mettant le ip-forwarding à Off.
Et là bonheur tout fonctionne pls de reject. Maintenant que j'ai appris le fonctionnement du shorewall je vais pourvoir me le paramétrer comme il se faut.
Le routeur a côté lan une ip en 192.168.1 (et ça je ne peux pas le modifier) donc eth0 doit être egalement en 192.168.1 si je veux que la connexion puisse se faire.
Hors le routeur est utilisé par des machines en connexion directe sans passer par le proxy. Ces même machines devant également pour voir se connecter avec des machines qui utilisent le proxy
Ce qui fait que eht1 doit également être en 192.168.1
Mais bon je viens de résoudre, comme ma machine fait proxy j'ai changé le shorewall.conf en mettant le ip-forwarding à Off.
Et là bonheur tout fonctionne pls de reject. Maintenant que j'ai appris le fonctionnement du shorewall je vais pourvoir me le paramétrer comme il se faut.
- dmartin
- Matelot
- Messages: 6
- Inscrit le: 04 Juil 2005 17:16
- Localisation: Limoges
par Franck78 » 11 Juil 2005 11:23
Il y a un truc qui cloche dans tes explications.
Ou ta machine est firewall/(et proxy accessoirement) ET il n'y a pas de connexion directe au routeur ET ta machine est entre LAN et le routeur.
Ou ta machine est SEULEMENT un proxy HTTP ET elle est en branchée sur le LAN comme toutes les autres (une seule carte réseau).
Franck
Ou ta machine est firewall/(et proxy accessoirement) ET il n'y a pas de connexion directe au routeur ET ta machine est entre LAN et le routeur.
Ou ta machine est SEULEMENT un proxy HTTP ET elle est en branchée sur le LAN comme toutes les autres (une seule carte réseau).
Franck
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par Franck78 » 11 Juil 2005 19:29
dmartin a écrit:En fait elle sert à la fois de passerelle pour accéder à internet et de proxy.
Déja 'passerelle' vers internet est inadapté. Une passerelle 'convertit' des protocoles différend. C'est une mauvaise traduction de 'gateway'.
Ta machine est 'routeur'. Si elle est routeur, elle doit respecter les règles de base des réseaux IP. C'est tout. Sinon, ca ne marche pas.
-
Franck78 - Amiral
- Messages: 5625
- Inscrit le: 20 Fév 2004 01:00
- Localisation: Paris
par dmartin » 12 Juil 2005 08:49
J'ai bien compris que la façon dont la passerelle est installée est mauvaise. Et je vais y remédier.
Par contre comment expliquer que depuis maintenant 2 bonnes années tout fonctionnait très bien. Et du jour au lendemain les paquets se trompe de carte réseau ?
De tout manière la structure a évolué et je pense qu'une réinstallation sera plus efficace.
Merci encore
Par contre comment expliquer que depuis maintenant 2 bonnes années tout fonctionnait très bien. Et du jour au lendemain les paquets se trompe de carte réseau ?
De tout manière la structure a évolué et je pense qu'une réinstallation sera plus efficace.
Merci encore
- dmartin
- Matelot
- Messages: 6
- Inscrit le: 04 Juil 2005 17:16
- Localisation: Limoges
10 messages
• Page 1 sur 1
Retour vers Mandriva MNF & SNF
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité