[RÉSOLU] Site accessible à un endroit spécifique ? Merci !!!

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

[RÉSOLU] Site accessible à un endroit spécifique ? Merci !!!

Messagepar ssssseb » 26 Nov 2005 04:37

Bonjour à tous :D,

J'espère que vous allez bien (sinon, sachez que vous ne serez pas seuls :lol:).

Mon problème est, pour ainsi dire, assez particulier :shock:. La situation se présente comme suit :

Je dispose d'un serveur Web sous GNU/Linux (Ubuntu 5.10) fonctionnant grâce à XAMPP. Ce serveur est accessible aux gens du Québec (suite à quelques confirmations), mais ne sait apparemment pas nager et prive donc les autres continents (du moins l'Europe jusqu'ici, mais je suis confiant de dire que c'est de même pour les autres :lol:).

En principe, le problème venait à la base d'une mauvaise configuration du routeur (c'est ce modèle-ci), mais j'ai exploré ce dernier relativement en profondeur pour croire que les renseignements fournis sont justes.

La configuration du routeur en images si ça peut aider à visualiser la problématique...

http://virtualdd.site.voila.fr/firewall ... _basic.png
http://virtualdd.site.voila.fr/firewall ... p_ddns.png
http://virtualdd.site.voila.fr/firewall ... up_mac.png
http://virtualdd.site.voila.fr/firewall ... vanced.png
http://virtualdd.site.voila.fr/firewall ... filter.png
http://virtualdd.site.voila.fr/firewall ... ty_vpn.png
http://virtualdd.site.voila.fr/firewall ... ort_fo.png
http://virtualdd.site.voila.fr/firewall ... ort_tr.png
http://virtualdd.site.voila.fr/firewall ... s_upnp.png
http://virtualdd.site.voila.fr/firewall ... ps_dmz.png
http://virtualdd.site.voila.fr/firewall_conf/admin.png
http://virtualdd.site.voila.fr/firewall_conf/status.png

Voilà d'autres infos que je suis en mesure de vous fournir :
nmap -sS -p 80 welcometux.ath.cx

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-25 21:32 EST
Interesting ports on modemcable122.94-37-24.mc.videotron.ca (24.37.94.122):
PORT STATE SERVICE
80/tcp open http

Nmap finished: 1 IP address (1 host up) scanned in 0.197 seconds

cat /etc/arno-iptables-firewall.conf | grep OPEN_[TU][CD]P | grep 80

OPEN_TCP="21 80"
OPEN_UDP="21 80"

(les ports 21 et 80 sont donc ouverts dans le pare-feu tant pour le protocole UDP que TCP)

ifconfig | grep 192

inet adr:192.168.1.100 Bcast:192.168.1.255 Masque:255.255.255.0

(mon adresse locale est donc 192.168.1.100, adresse dont le port 80 est ouvert dans la configuration du routeur)


Je ne sais si ça suffira à élucider le mystère qui plane dans ma petite tête, mais si vous avez besoin d'autres renseignements n'hésitez pas :D.

Edit : Désolé pour l'adresse... C'est bien http://welcometux.ath.cx/ :roll:

AVIS AUX ABONNÉS DE VIDÉOTRON : : Il vous faut vous tourner vers un port autre que le 80 puisque ce FAI effectue un filtrage par défaut sur ce dernier. Il en résulte un site illégal puisque vous n'avez en principe pas le droit, mais ça fonctionne tout de même :lol:.

Merci à Gandalf, Gaston, jdh, tomtom, HaM et Ghostrider pour leurs réponses. ;)

Merci d'avance d'avoir pitié du novice que je suis 8).
Dernière édition par ssssseb le 03 Déc 2005 20:19, édité 8 fois au total.
Le monde du partage devra remplacer le partage du monde ;) - Claude Lelouch
ssssseb
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Nov 2005 03:24
Localisation: L'Assomption / Québec / Canada

Messagepar Gandalf » 26 Nov 2005 11:10

Salut, avant toute chose c'est quoi l'URL de ce site ? Commencons par là ...
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar Gaston » 26 Nov 2005 17:30

Bonjour,
d'après tes copies d'écran, ton site serait http://welcometux.ath.cx

et si j'ai bien compris, tu as forwardé le port 80 de ton linksys vers ton serveur
tu as correctement paramétré dyndns et ton adresse est bien celle que l'on retrouve via un nslookup
donc cela me semble correct.

Par contre, je viens de faire le test (par acquis de conscience) de :
région parisienne : pas de réponse sur les ports 80, 443 (presque Ok sur 21)
Asie : idem
Etat Unis (côte Ouest) : idem

Je te rassure donc : si tu ne sais pas nager, tu ne sais pas voler ni marcher non plus ;)
Mais ton problème reste entier :(
et de mon côté le nmap estun peu différent :
Code: Tout sélectionner
# nmap -sS -p 80 welcometux.ath.cx
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-11-26 16:38 CET
Interesting ports on modemcable122.94-37-24.mc.videotron.ca (24.37.94.122):
PORT   STATE    SERVICE
80/tcp filtered http
Nmap finished: 1 IP address (1 host up) scanned in 2.094 seconds

Est-ce que tu aurais autre chose sur ton réseau ?
le 192.168.1.100 c'est bien ton serveur Web ?
Je ne connais pas la config du linksys, la seule chose qui me choque un peu c'est que tu sembles avoir deux routages : advance settings et PnP ...
Si tu resettais ton Linksys et que tu remettesjuste le routage du port 80 vers ton serveur Web ?

G.
Avatar de l’utilisateur
Gaston
Amiral
Amiral
 
Messages: 1367
Inscrit le: 06 Oct 2003 00:00
Localisation: Saint Maur, 94 FR

Messagepar jdh » 26 Nov 2005 20:08

Un traceroute à partir de chez moi donne :

Code: Tout sélectionner
traceroute to welcometux.ath.cx (24.37.94.122), 30 hops max, 38 byte packets
.......
4  V3850.ren1-co-1.gaoland.net (84.96.251.130)  49.935 ms  43.225 ms  50.186 ms
5  * * *
6  * * *
7  g0-9.core01.par01.atlas.cogentco.com (130.117.18.249)  94.392 ms  57.500 ms  53.052 ms
8  p14-0.core02.dca01.atlas.cogentco.com (66.28.4.206)  308.952 ms  156.347 ms  235.445 ms
9  p14-0.core01.iad01.atlas.cogentco.com (154.54.2.198)  163.166 ms  132.165 ms  137.166 ms
10  teleglobe.iad01.atlas.cogentco.com (154.54.10.74)  139.615 ms  139.620 ms  137.426 ms
11  if-6-3.mcore4.NJY-Newark.teleglobe.net (216.6.63.21)  138.551 ms  182.147 ms  151.940 ms
12  Port-channel1.core2.MTT-Montreal.teleglobe.net (66.198.82.14)  149.114 ms  145.806 ms  149.223 ms
13  10.154.0.89 (10.154.0.89)  141.700 ms  148.992 ms  138.663 ms
14  24.200.250.77 (24.200.250.77)  151.697 ms  203.721 ms  141.302 ms
15  24.200.237.101 (24.200.237.101)  149.505 ms  218.791 ms  144.296 ms
16  modemcable122.94-37-24.mc.videotron.ca (24.37.94.122)  154.632 ms  152.971 ms  203.232 ms


A mon sens, cela signifie que je peux atteindre tout à fait correctement ton modem (cable). D'ailleurs le ping est tout à fait sans problème (même en mode flood).

Il resulte que le pb se trouve dans ta config pour envoyer le traffic sur le port 80 vers ton vrai serveur web.

A suivre ....
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ssssseb » 26 Nov 2005 20:36

Rebonjour à vous :D,

Salut, avant toute chose c'est quoi l'URL de ce site ? Commencons par là ...

Oui pardon... Je devais en avoir marre de l'entrer dans la barre d'adresses en pensant que ça ne fonctionnait jamais ailleurs :(. Je viens d'éditer mon premier post :P -> http://welcometux.ath.cx/

Merci pour ta remarque primordiale, il faut l'avouer :lol:...

d'après tes copies d'écran, ton site serait http://welcometux.ath.cx

Oui, belle déduction :? ... C'est rectifié :wink:.

J'avais entre autres essayé de le configurer, je vous jure (avec ça et ceci, parmi d'autres qui dataient encore plus), mais mon incompétence a pris le dessus :D.

Sinon, merci pour la commande nslookup : je l'avais complètement oubliée . 8)

région parisienne : pas de réponse sur les ports 80, 443 (presque Ok sur 21)

Le port 21 est ouvert dans iptables, mais je n'ai pourtant rien spécifié dans la configuration du routeur ? De plus, quand je me rends sur http://www.pcflank.com, il me dit Stealthed pour les ports 21 et 80. Par contre, si je modifie la configuration du routeur (sur cette page) en autorisant également le port 21, PCFlank me dit désormais qu'il peut accéder à ce dernier port, mais le 80 reste Stealthed malgré une configuration similaire...

Je vais laisser le port 21 ouvert dans la configuration pour que vous puissiez voir (mais il serait étonnant que vous puissiez vous y connecter, car par défaut, les utilisateurs anonymes sont bloqués) bien que je pense ne conserver que le serveur Web à proprement parler 8).

Si vous voulez aussi, j'essaierai de le configurer pour que vous ayez l'opportunité de tester le FTP avec un compte que je vous aurai créé, mais si ça ne pouvait être qu'en dernier recours, s'il vous plaît (parce que vraiment, je ne pense pas que ça soit un problème ici puisque les gens du Québec ont accès au serveur Web et comme tu viens de la région parisienne, ça confirme en même temps que ça ne fonctionne pas par là-bas :?) :).

Est-ce que tu aurais autre chose sur ton réseau ?

Oui : Trois PC au total dont la disposition ressemble à cela (je ne suis pas artiste au passage, mais vous vous en rendez compte :lol:) ->
http://virtualdd.site.voila.fr/firewall_conf/reseau.png

Je viens d'aller vérifier sur les deux autres PC (sous Windows) avec "ipconfig" puis "ifconfig" sous le miens et ça correspond :).

le 192.168.1.100 c'est bien ton serveur Web ?

Bien c'est mon adresse locale dans le réseau. Autrement, je ne sais s'il me fallait laisser cette ligne vide ou non... J'ai essayé bien des trucs inutilement, j'imagine :D.

Je ne connais pas la config du linksys, la seule chose qui me choque un peu c'est que tu sembles avoir deux routages : advance settings et PnP ...

Que dois-je donc en faire ? Côté réseau, je suis assez perdu - devrais m'y mettre d'ailleurs :lol:. J'ai même cherché à désactiver complètement les protections du routeur, mais je n'ai rien trouvé (le PC principal a déjà "Sygate", le miens iptables dont seuls les ports 21 et 80 sont ouverts bientôt uniquement le 80 et le PC de ma soeur est tout bousillé par les spywares et autres virus que son Norton ne détecte pas, donc c'est pas trop grave :lol:).

J'ai aussi regardé du côté de la "DMZ" pour que mon PC soit pleinement accessible, mais le résultat est le même (quoique je puis réessayer sur demande). Vraiment, je comprends rien :?...

Si tu resettais ton Linksys et que tu remettesjuste le routage du port 80 vers ton serveur Web ?

C'est une solution, mais par défaut, les utilisateurs anonymes sont bloqués je crois et je ne suis pas certain des autres options (voir cette image pour "les requêtes des utilisateurs anonymes"). Si c'est la solution, pourquoi pas (au pire il restera les images pour remettre comme c'était) :D.

jdh...
Il resulte que le pb se trouve dans ta config pour envoyer le traffic sur le port 80 vers ton vrai serveur web.

Comment dois-je traduire ce que tu me dis au juste ? Est-ce que ça a quelque chose à voir avec le "Port triggering" (capture) ou c'est seulement au niveau du "Port fowarding" (capture) ? Cela peut-il être aussi une erreur venant de la configuration du serveur ? Si c'est ce dernier cas, je puis vous laisser la configuration, mais je ne saurais que modifier sans me documenter d'abord...

-> La configuration du serveur

Merci en tous les cas de vous pencher sur mon problème. C'est très gentil de votre part :D.

En espérant vous relire bientôt,

Merci encore ! ;)
Le monde du partage devra remplacer le partage du monde ;) - Claude Lelouch
ssssseb
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Nov 2005 03:24
Localisation: L'Assomption / Québec / Canada

Messagepar jdh » 27 Nov 2005 01:01

Je confirme un certain nombre de choses :

- accès de France (traceroute + ping) : tout est totalement Ok.
- "nmap -p 80 : filtered" alors que "nmap -p 21 : open" : bizarre.
- bizarrerie : le routeur est serveur DHCP local avec comme static DNS : 192.168.1.100.

Le PC Ubuntu doit être parfaitement nickel au niveau config réseau (192.168.1.100/24 + gateway 192.168.1.1) + dns (ceux fourni par l'ISP). Il faut noter qu'Apache (inclus dans XAMPP) effectue un reverse dns à chaque connexion (sauf erreur).

Je note qu'un "ftp welcometux.ath.cx" est instantané alors qu'un "wget http://welcometux.ath.cx" n'aboutit pas.

Y aurait-il absence d'un "allow from all" dans une quelconque section Directory (ou Location) de la config apache (httpd.conf) ?

De mon point de vue, je désactiverais UPnP qui n'est concu que pour des machines Windows (XP/2K3 ?). Sinon le port forwarding est bien ce qui est nécessaire sur le Linksys (et non le port triggering). J'aurais vu le routeur Linksys comme relais DNS ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ssssseb » 27 Nov 2005 02:53

Bonjour/Bonsoir jdh :D,

- "nmap -p 80 : filtered" alors que "nmap -p 21 : open" : bizarre.

Je ne comprends en effet pas grand chose à ce niveau puisque rien ne diverge dans la configuration du routeur (dans l'onglet Ports Fowarding, j'ai ajouté le port 21 de la même manière que je l'ai fait pour le port 80).

- bizarrerie : le routeur est serveur DHCP local avec comme static DNS : 192.168.1.100.

Bien, je ne saurais que faire, à vrai dire (j'ai avoué plus haut être assez nul en réseau, désolé :roll:). D'après ce que j'en lis, "DNS" mis pour Domain Name System (ou Service/Server) transforme une adresse textuelle en adresse IP. La solution serait donc de renseigner l'adresse IP du routeur ? Autrement, je ne comprends pas tellement...

J'en ai compris que le routeur possède deux adresses (une IP extérieure étant 24.37.94.122 et une locale 192.168.1.1). De là, les PC sont identifiés par des adresses locales et renvoient tous l'adresse du routeur sur Internet.

Le PC Ubuntu doit être parfaitement nickel au niveau config réseau (192.168.1.100/24 + gateway 192.168.1.1) + dns (ceux fourni par l'ISP).

Pour les DNS, j'imagine que ce sont ceux fournis sur cette page ? Si ce n'est le cas, je risque fort bien de souffrir de calvitie plus tôt que prévu :lol:. Je remplace immédiatement dans la configuration du serveur au cas où ;).
Voilà -> http://virtualdd.site.voila.fr/firewall ... _basic.png

Il faut noter qu'Apache (inclus dans XAMPP) effectue un reverse dns à chaque connexion (sauf erreur).

Je ne comprends pas en quoi ça influencera le fonctionnement du serveur... D'après ce que j'ai pu lire, ça signifierais :
One practical application of reverse DNS is as an anti-spam measure. Because spammers often use invalid IP addresses to send e-mails, rDNS will determine the authenticity of a domain name compared to the IP address from which it is originating.

En français ->

Le "reverse DNS" peut s'avérer d'une utilisation utile dans le cadre d'une mesure "anti-spam". Étant donné que les spammeurs utilisent souvent des adresses IP invalides pour envoyer leurs messages, rDNS déterminera l'authenticité d'un nom de domaine en le comparant à l'adresse IP duquel il provient.

Je reste attentif vis à vis de tes bons conseils tout de même, ça va de soi :D.

Je note qu'un "ftp welcometux.ath.cx" est instantané alors qu'un "wget http://welcometux.ath.cx" n'aboutit pas.

Ce qui rejoint malencontreusement ce raisonnement :
"nmap -p 80 : filtered" alors que "nmap -p 21 : open" : bizarre. :?

Y aurait-il absence d'un "allow from all" dans une quelconque section Directory (ou Location) de la config apache (httpd.conf) ?

Je n'avais pas regardé de ce côté et en effet, un changement (un ajout en fait) a dû être apporté :
DocumentRoot "/opt/lampp/htdocs"

#
# Each directory to which Apache has access can be configured with respect
# to which services and features are allowed and/or disabled in that
# directory (and its subdirectories).
#
# First, we configure the "default" to be a very restrictive set of
# features.
#
<Directory />
Options FollowSymLinks
AllowOverride None
Allow from all
</Directory>


J'ai rencontré d'autres "Directory" et "Location" en recherchant avec la fonction rechercher pour être certain, mais je les ai laissé par défaut vu qu'ils me semblaient correctement configurés :? :
<Location /server-status>
SetHandler server-status
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Location>

<Location /server-info>
SetHandler server-info
Order deny,allow
Deny from all
Allow from 127.0.0.1
</Location>

<Directory "/opt/lampp/phpmyadmin">
AllowOverride AuthConfig Limit
</Directory>

J'ai ensuite redémarré le serveur pour que la modification soit prise en compte. J'espère que ça finira par porter fruits :).

De mon point de vue, je désactiverais UPnP qui n'est concu que pour des machines Windows (XP/2K3 ?).

Suggestion approuvée, chef !

-> http://virtualdd.site.voila.fr/firewall_conf/admin.png

Configuration du serveur également mise à jour :)
-> http://virtualdd.site.voila.fr/firewall_conf/httpd.conf

J'aurais vu le routeur Linksys comme relais DNS ?

Bien moi, peu importe ce qu'il fait, ça m'est égal tant qu'il me permet de faire fonctionner mon petit serveur (de toutes manières, ce sont pas mes parents qui vont se rendre compte de ça) :lol:. J'ai pris soin de modifier les DNS dans la configuration comme écrit un peu plus haut. J'ose espérer que ça sera davantage fructueux ainsi :oops:...

P.S. : Si ça peut servir, le contenu du fichier /etc/resolv.conf (je présume qu'il s'est ajusté lorsque j'ai changé les DNS dans la configuration du routeur :lol:) ->
search ath.cx
nameserver 24.200.241.37
nameserver 24.201.245.77
nameserver 24.200.243.189


En tous les cas, merci beaucoup de prendre de votre temps pour m'aider. Votre aide demeure réellement appréciée 8).

À très bientôt je l'espère et merci encore ! :P
Le monde du partage devra remplacer le partage du monde ;) - Claude Lelouch
ssssseb
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Nov 2005 03:24
Localisation: L'Assomption / Québec / Canada

Messagepar jdh » 27 Nov 2005 09:31

Code: Tout sélectionner
contenu de /etc/resolv.conf :
search ath.cx
nameserver 24.200.241.37
nameserver 24.201.245.77
nameserver 24.200.243.189


Ces serveurs DOIVENT être des serveurs dns. Chez moi, il ne répondent pas en tant que serveurs DNS. Or Apache fait un reverse DNS avant de répondre (sauf erreur). Comme cela ne fonctionne pas Apache semble ne pas répondre ?

C'est sans doute normal qu'ils ne répondent pas à mes requetes DNS ou au ping car il s'agit de serveur DNS de videotron.ca d'après la page que tu indiques, ce qui serait donc très correct. MAIS ils doivent IMPERATIVEMENT répondre pour toi.

A noter que tu n'as normalement pas besoin de la ligne "search ath.cx". Il faut la commenter (#).

Pour tester cela tu peux essayer "host www.yahoo.ca 24.200.241.37" et ainsi de suite. Autre test important, toujours avec host, "host 216.109.112.135" doit forcément répondre.

Code: Tout sélectionner
Chez moi ça donne :

fw:~# host www.yahoo.ca
www.yahoo.ca is an alias for rc.yahoo.com.
rc.yahoo.com is an alias for rc.yahoo.akadns.net.
rc.yahoo.akadns.net has address 216.109.112.135
fw:~# host 216.109.112.135
135.112.109.216.in-addr.arpa domain name pointer w2.rc.vip.dcn.yahoo.com.

La 1ere commande est une résolution DNS standard, la secondes est une résolution "reverse". Ces réponses sont AMHA les bonnes.


Je reviens sur la config du Linksys : AMHA, il faut avoir le port forwarding SEULEMENT : pas de port trigerring ni UPnP. Généralement il ne faut avoir que les ports que tu acceptes d'ouvrir et qui sont nécessaires : ici FTP=21 et 80=Apache. FTP est-il nécessaire ?. L'URL que tu donnes est d'ailleurs explicite à ce sujet.

Ensuite tu utilises sur Ubuntu un script de firewall (/etc/arno-iptables-firewall.conf). Petit bug de config : FTP et Apache n'utilise que les ports TCP : nul besoin d'UDP. Est-il activé ? Je viens de chercher de quoi s'agit-il : il existe bien un script arno référencé chez Freashmeat avec paquet Debian à la clé. En ce qui me concerne, je ne peux que te conseiller d'utiliser le générateur de script iptables "Shorewall" (site www.shorewall.net) qui est packagé depuis longtemps pour Debian donc devrait l'être pour Ubuntu. Je suis un adepte de ce simple mais puissant Shorewall : la config est très simple : des fichiers texte, le site abonde d'exemples, et enfin, il a été choisi comme système de firewall pour des distributions comme la MNF le firewall selon Mandrake/Mandriva.

Je regarde un peu "arno" mais essaie de regarder de ton côté Shorewall. Tu ne devrais avoir qu'une interface, donc une seule zone. Et il devrait suffire d'écrire "ACCEPT lan fw tcp 80" pour accepter les requettes http.


(En principe les sections /server-status et /server-info devraient être en commentaires cad précédées d'un # : inutile de trop ouvrir de choses)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jdh » 27 Nov 2005 10:00

J'ai regardé le script "arno-firewall" (très vite et en diagonale).

Il s'agit d'un script intéressant qui semble prendre en compte beaucoup de choses. Plutot positif !

Un défaut, AMHA, est qu'il y a un seul fichier de config, de taille assez importante mélangeant les paramêtres pour débutant et ceux pour experts. Il ne doit pas être très simple de rentrer dans le détail et de s'assurer que cela fonctionne bien.

Evidemment "Shorewall" a lui l'avantage inverse : quelques fichiers texte permettent la config en séparant les choses : "interfaces" définit les interfaces réseaux, "masq" définit la masquerade à réaliser, "rules" (le plus important) définit les règles, ...

Dans ton cas, je peux supposer que ton PC (192.168.1.100) ne dispose que d'une interface. La seule difficulté est alors de définir le réseau local distinctement d'Internet alors qu'il arrivent par la même interface. J'ai plutot été face a des machines distinquant des zones associé à une interface : eth0=Net, eth1=Lan, eth2=Dmz, ce qui est plus riche mais aussi plus facile. Donc naturellement tu devrais avoir une définition comme : 192.168.1.x=Lan et le reste=Net. Le réglage Shorewall ne me vient pas instantanément ! A suivre ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ssssseb » 27 Nov 2005 19:26

Salut jdh :D,

Ces serveurs DOIVENT être des serveurs dns. Chez moi, il ne répondent pas en tant que serveurs DNS.

Comment pourrai-je y remédier :lol: ? J'ai cherché un peu partout et vraiment, il n'y a que ceux-là qui me semblent adéquats :-s ...

Or Apache fait un reverse DNS avant de répondre (sauf erreur). Comme cela ne fonctionne pas Apache semble ne pas répondre ?

Ça viendrait donc des DNS ou ce serait davantage le serveur ? Je n'avais vraiment pas touché grand chose cette fois dans la configuration (puisque ça n'avait jamais fonctionné avant, sauf au Québec) : peut-être ai-je donc oublié quelque chose (quoique je ne saurais dire ce qu'il en est).

il s'agit de serveur DNS de videotron.ca d'après la page que tu indiques, ce qui serait donc très correct.

C'est rassurant 8).

MAIS ils doivent IMPERATIVEMENT répondre pour toi.

J'ai exécuté les commandes que tu m'as suggérées et ça semble être OK :
host www.yahoo.ca 24.200.241.37
Using domain server:
Name: 24.200.241.37
Address: 24.200.241.37#53
Aliases:

www.yahoo.ca is an alias for rc.yahoo.com.
rc.yahoo.com is an alias for rc.yahoo.akadns.net.
rc.yahoo.akadns.net has address 216.109.112.135

host 216.109.112.135
135.112.109.216.in-addr.arpa domain name pointer w2.rc.vip.dcn.yahoo.com.


J'ai, pour cela, soigneusement commenté la ligne proscrite dans le fichier /etc/resolv.conf :P.

Je reviens sur la config du Linksys : AMHA, il faut avoir le port forwarding SEULEMENT : pas de port trigerring ni UPnP.

Ai-je quelque chose à désactiver dans ce cas ? Car, selon les options cochées, je n'utilise en effet que le port fowarding :? :
http://virtualdd.site.voila.fr/firewall ... ort_tr.png
http://virtualdd.site.voila.fr/firewall ... s_upnp.png

Généralement il ne faut avoir que les ports que tu acceptes d'ouvrir et qui sont nécessaires : ici FTP=21 et 80=Apache. FTP est-il nécessaire ?. L'URL que tu donnes est d'ailleurs explicite à ce sujet.

En fait, j'ai ouvert le port 21 pour te montrer que, contrairement au port 80, il était ouvert (je croyais ainsi éliminé quelques pistes de solutions). Je viens à l'instant de rectifier tout cela à la fois dans le firewall et dans la configuration du routeur :

-> Le routeur
http://virtualdd.site.voila.fr/firewall ... ort_fo.png

(j'ai fourni le même nom d'application que sur cette page, au cas où ça changerait quelque chose)

cat /etc/arno-iptables-firewall.conf | grep OPEN_[TU][CD]P | grep 80

OPEN_TCP="80"

(il n'y a donc plus que le port 80 ouvert en TCP)


FTP et Apache n'utilise que les ports TCP : nul besoin d'UDP. Est-il activé ?

:lol:... Erreur de ma part (pour être certain, j'ai ouvert au maximum ces ports). J'ai, d'après tes bons conseils, également retiré FTP comme tu as pu le constater dans l'image du lien ci-dessus.

Je regarde un peu "arno" mais essaie de regarder de ton côté Shorewall.

C'est bon ! Toutefois, je n'ai que la version 2.2.5 de disponible pour Ubuntu, alors que nous en sommes à la 3.0.2. J'installe tout de suite après ce post :wink:.

u ne devrais avoir qu'une interface, donc une seule zone. Et il devrait suffire d'écrire "ACCEPT lan fw tcp 80" pour accepter les requettes http.

Le résultat d'un "ifconfig" me donne ce qui suit :
eth0 Lien encap:Ethernet HWaddr 00:0E:A6:BA:6B:26
inet adr:192.168.1.100 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::20e:a6ff:feba:6b26/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:198007 errors:0 dropped:0 overruns:0 frame:0
TX packets:212493 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:182636602 (174.1 MiB) TX bytes:39076308 (37.2 MiB)
Interruption:22

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:27740 errors:0 dropped:0 overruns:0 frame:0
TX packets:27740 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:4418466 (4.2 MiB) TX bytes:4418466 (4.2 MiB)


(En principe les sections /server-status et /server-info devraient être en commentaires cad précédées d'un # : inutile de trop ouvrir de choses)

Voilà, je t'ai écouté : je viens de relancer le serveur avec les nouveaux paramètres (j'ai commenté les deux petites sections comme tu m'as dit de le faire) 8).

Il s'agit d'un script intéressant qui semble prendre en compte beaucoup de choses. Plutot positif !

Un défaut, AMHA, est qu'il y a un seul fichier de config, de taille assez importante mélangeant les paramêtres pour débutant et ceux pour experts. Il ne doit pas être très simple de rentrer dans le détail et de s'assurer que cela fonctionne bien.

Je n'ai effectivement pas touché grand chose et j'imagine que ça n'aide pas à la situation... Je me pencherai sur Shorewall plus en profondeur en tous les cas :D.

Dans ton cas, je peux supposer que ton PC (192.168.1.100) ne dispose que d'une interface.

Ça semble être le cas d'après "ifconfig", du moins :?...

Donc naturellement tu devrais avoir une définition comme : 192.168.1.x=Lan et le reste=Net. Le réglage Shorewall ne me vient pas instantanément ! A suivre ...

Se raprocherait-on de la solution !? :shock:

Je vais de mon côté tout faire pour que PCFlank m'indique un port HTTP "ouvert". Malheureusement, même en désactivant carrément le firewall, j'obtiens toujours un statut "Stealthed" :
"Stealthed" (by a firewall) -Means that your computer is invisible to others on the Internet and protected by a firewall or other similiar software;
"Closed" (non-stealthed) - means that this port is closed, but your computer is visible to others on the Internet that can be potentially dangerous;

J'aurais préféré être vulnérable :lol:...

Merci pour ta précieuse aide jdh, c'est vraiment sympathique de ta part :D

Merci beaucoup et à bientôt, j'espère ! :roll:
Le monde du partage devra remplacer le partage du monde ;) - Claude Lelouch
ssssseb
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Nov 2005 03:24
Localisation: L'Assomption / Québec / Canada

Messagepar ssssseb » 28 Nov 2005 07:28

Rebonjour :D,

Voilà un peu de news : j'ai «reseté» les paramètres du routeur comme me l'avait suggéré Gaston, les changements vous sont offerts...

http://virtualdd.site.voila.fr/firewall ... basic1.png
http://virtualdd.site.voila.fr/firewall ... _ddns1.png
http://virtualdd.site.voila.fr/firewall ... ilter1.png (juste le truc des "utilisateurs anonymes")
http://virtualdd.site.voila.fr/firewall ... rt_fo1.png

www.pcflank.com me dit toujours que le port 80 est "Stealthed", je sais pas quoi faire :cry:.

J'ai aussi regardé du côté de Shorewall, et bien... C'est une grosse bête ce truc :lol:. Disons que j'ai eu recours au script d'Arno quelques fois pour retrouver l'accès à mon serveur (de chez moi en plus :roll:)...

Je dois néanmoins me faire bref pour cette fois (0h28 avec de l'école dans quelques heures, c'est pas facile :D).

Je reste bien sûr attentif à vos suggestions, si vous en avez toujours :lol:.

Merci beaucoup pour votre aide et à très bientôt :wink: !
Le monde du partage devra remplacer le partage du monde ;) - Claude Lelouch
ssssseb
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Nov 2005 03:24
Localisation: L'Assomption / Québec / Canada

Messagepar tomtom » 29 Nov 2005 00:30

C'est clairement chez teleglobe que ça coince.

Même si ton serveur n'est pas up ce soir, les tests sont flagrants :

Code: Tout sélectionner
root@tekila:~# hping3 -p 21 -S  -P -VV -t 10 -c 5 welcometux.ath.cx
using eth0, addr: 172.16.10.100, MTU: 1500
HPING welcometux.ath.cx (eth0 24.37.94.122): SP set, 40 headers + 0 data bytes
TTL 0 during transit from ip=66.198.82.14 name=Port-channel1.core2.MTT-Montreal.teleglobe.net
TTL 0 during transit from ip=66.198.82.14 name=Port-channel1.core2.MTT-Montreal.teleglobe.net
TTL 0 during transit from ip=66.198.82.14 name=Port-channel1.core2.MTT-Montreal.teleglobe.net
TTL 0 during transit from ip=66.198.82.14 name=Port-channel1.core2.MTT-Montreal.teleglobe.net
TTL 0 during transit from ip=66.198.82.14 name=Port-channel1.core2.MTT-Montreal.teleglobe.net

--- welcometux.ath.cx hping statistic ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms


mais....

root@tekila:~# hping3 -p 80 -S  -P -VV -t 10 -c 5 welcometux.ath.cx
using eth0, addr: 172.16.10.100, MTU: 1500
HPING welcometux.ath.cx (eth0 24.37.94.122): SP set, 40 headers + 0 data bytes

--- welcometux.ath.cx hping statistic ---
5 packets transmitted, 0 packets received, 100% packet loss


et

root@tekila:~# hping3 -p 80 -S  -P -VV -t 9 -c 3 welcometux.ath.cx
using eth0, addr: 172.16.10.100, MTU: 1500
HPING welcometux.ath.cx (eth0 24.37.94.122): SP set, 40 headers + 0 data bytes
TTL 0 during transit from ip=64.86.81.162 name=if-5-0.core2.MTT-Montreal.Teleglobe.net
TTL 0 during transit from ip=64.86.81.162 name=if-5-0.core2.MTT-Montreal.Teleglobe.net
TTL 0 during transit from ip=64.86.81.162 name=if-5-0.core2.MTT-Montreal.Teleglobe.net

--- welcometux.ath.cx hping statistic ---
3 packets transmitted, 3 packets received, 0% packet loss


On voit bien que le routeur core2.MTT-Montreal.Teleglobe.net ne laisse pas passer le paquet sur le port 80 alors que ça passe sur le 21.... Filtrage chez eux ? Ou simple panne... Il faut te renseigner...


Il est probabke que depuis la canada, vous passiez par des routeurs différents... Il faudrait aussi faire les tests depuis un autre opérateur...


Pas la peine de galérer sur la conf de ton routeur pour le moment ;)

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar ssssseb » 29 Nov 2005 03:01

Salut tomtom :D,

C'est clairement chez teleglobe que ça coince.

Voilà une affirmation qu'il fait bon de laisser glisser jusqu'aux oreilles :P.

On voit bien que le routeur core2.MTT-Montreal.Teleglobe.net ne laisse pas passer le paquet sur le port 80 alors que ça passe sur le 21.... Filtrage chez eux ? Ou simple panne... Il faut te renseigner...

Je viens de leur envoyer un message pour en avoir le coeur net (ou brisé :lol:) :
Hi, Teleglobe team.

I have a little question and I hope that you'll be able to answer me about it. Please first consider that I'm really bad in English... Thanks !

I'm a webmaster and I'm working on Linux to build a Web server (with Apache). The problem is that the server isn't reachable for everybody, especially in Europe. A friend of mine is also having problems to access the server and I noticed that his connection works with Sympatico. Two other friends of mine can access my Web site but they're using Videotron as ISP and I was wondering if this was the real problem. Nevertheless I correctly configured the router, the firewall and the server but it's still not working (except for the port 21).

I knew after that the port 21 was OK with a similar configuration. Then a guy did a test and he concluded that "teleglobe.net" was filtering the port 80 which is needed for the Web server. Is it the case ?

I tried to solve this problem in many ways but I can't figure out how I'd finally do it...

Your help would be very appreciated :)

Thank you ever so much, I have faith in you !


Mon anglais se résumé à pas grand chose, je le concède 8). C'est l'intention qui compte comme on dit :roll:...

Il est probabke que depuis la canada, vous passiez par des routeurs différents... Il faudrait aussi faire les tests depuis un autre opérateur...

C'est fort probable puisque seuls ceux qui ont réussi à accéder au site habitaient le Québec :?. D'ailleurs, je pense qu'ils utilisaient tous Vidéotron comme FAI/ISP d'après les logs sur le serveur fournissant leur adresse IP qui, avec la commande whois, renvoyait des infos sur le "Groupe Vidéotron [...]".

Pas la peine de galérer sur la conf de ton routeur pour le moment ;)

J'avais déjà perdu espoir de toutes façons :lol: ...

Merci énormément pour votre généreuse aide :D ! Je vous tiens au courant concernant la réponse de Teleglobe, si je la reçois (ils semblent penchés davantage côté Business, j'espère qu'ils répondront tout de même à mon insignifiante question).

Merci encore et à très bientôt :wink: !
Le monde du partage devra remplacer le partage du monde ;) - Claude Lelouch
ssssseb
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Nov 2005 03:24
Localisation: L'Assomption / Québec / Canada

Messagepar ssssseb » 01 Déc 2005 02:58

Rebonjour 8),

Comme promis, je vous transmets la réponse de Teleglobe (que j'ai dû transférer à teleglobe.ca en français vu la lenteur de teleglobe.net, qui m'ont répondu dans le 20 minutes suivant l'envoi) :

Bonjours.

Nos techniciens confirment que Teleglobe ne filtre pas de port. Si nous filtrions le port 80 plus specifiquement, personne sur la planette serait capable de naviguer sur internet en passant par Teleglobe. Pour plus d'information ou pour une investigation de ce trouble, vous devriez rapporter cette faute à Videotron ou votre fournisseur internet à l'aide de trace (comparaison d'une trace qui complete bien à votre site et une autre qui ne complete pas). Si à leur tour Videotron trouve que le probleme est chez Teleglobe, ils communiqueront avec nous pour nous le rapporter.

Je suis d'une part heureux de savoir que la cause ne peut venir de là, mais je crains que cela vienne cependant d'une limitation de la part de mon hébergeur :roll: ... À confirmer sous peu :lol: .

J'envoie donc un message à Vidéotron (mon FAI/ISP) sur-le-champ question que l'on sache enfin ce que se passe de ce côté ;). J'aurais aimé pouvoir partager librement mes connaissances sans devoir passer par un hébergeur autre que moi-même, mais la vie est souvent drôlement faite :P.

Merci pour l'intérêt que vous avez porté à mon problème, je vous en remercie infiniement. Je vous tiendrai évidemment au courant dès qu'une réponse me sera renvoyée de la part de Vidéotron !

Merci encore et à très bientôt, je l'espère ! 8)

Edit : Je suis maudit :shock: !

http://www.videotron.com/services/fr/se ... /8_3_1.jsp

4.9 Serveurs Interdits - Le client s'engage à ne pas utiliser les Services pour diffuser des données de tout type de serveur (tels FTP, HTTP, IRC, MP3, PROXY, SMTP, POP ou autres) vers Internet.


Je te rassure donc : si tu ne sais pas nager, tu ne sais pas voler ni marcher non plus ;)

Mon projet risque de continuer à se mouiller (autrement dit, il tombe définitivement à l'eau :lol:)...

Merci quand même d'avoir voulu réaliser l'impossible :D

À bientôt j'espère et merci encore ! :wink:
Le monde du partage devra remplacer le partage du monde ;) - Claude Lelouch
ssssseb
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 26 Nov 2005 03:24
Localisation: L'Assomption / Québec / Canada

Messagepar Gandalf » 01 Déc 2005 10:33

ssssseb a écrit:
4.9 Serveurs Interdits - Le client s'engage à ne pas utiliser les Services pour diffuser des données de tout type de serveur (tels FTP, HTTP, IRC, MP3, PROXY, SMTP, POP ou autres) vers Internet.



Qu'est-ce que c'est que cet ISP ? C'est une forme de censure, et je n'en connais aucun ( tout du moins en France ) qui empêche la mise en ligne d'un site web ! Et ceux qui bloque le port 25 n'ont génralement pas bonne presse ! Si tu n'es pas lié à ce FAI, changes en rapidement !
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité