[Résolu] Port bloqué sur sme7?

[cyrusblue]

Bonjour,

J'ai encore un petit souci (je pense le dernier )
je n'arrive pas à ouvrir un port spécifique sur sme 7

sme 7 est chez moi en simple serveur (->pas de pare-feux ni de fonction port forwarding)
c'est mon modem-routeur adsl qui gère les port forwarding...
j'ai donc sur mon routeur-modem ouvert par ex le port 80 sur l'ip de mon server et cela fonctionne
-> accès de mon site sur le web...

maintenant cela fonctionne aussi avec le FTP port 21 et SSH port 20 mais impossible d'ouvrir d'autres port accessible sur le net.
Tester avec http://www.inoculer.com/scannerdeports.php
est-ce normal ?
comment ouvrir un port spécifique ? il me faut installer la fonction fonction port forwarding sur sme?
ne pas utiliser la fonction simple serveur ?

Merci pour votre aide

[jmripert]

Oula, y'a du mélange dans les idées matelot !

Ton routeur est le seul visible du net, c'est donc sur lui que tu fais les redirections de port, en clair pas touche à ta sme pour ça...

Tu rediriges tes ports vers une machine de ton réseau ? il faut que sur cette machine quelque chose tourne sur le port que tu veux pour que le scan trouve quoi que ce soit...

Rappels-toi que moins tu ouvres de l'extérieur vers l'intérieur mieux c'est, normalement tout ce qui sort peut rentrer...

ps: pcflank est bien sympa pour tester en ligne...

[cyrusblue]

Le matelot n'a toujours pas trouvé de bouée, je nage

si je te suis, je touche rien à sme (qui est mode serveur)
C'est mon modem-routeur fait office de passerelle et gestion des redistributions de port
-> que ce j'ai fait : ça marche très bien pour mon mini-site web (port 80 ouvert sur Ip du server 192.168.0.10) et le FTP par ex.

maintenant si je met un autre port ça ne fonctionne pas, ça marche bien sur mon reseau local, mais pas sur le web... sme doit bloquer le service
Quand j'utilisais windowsxp cela communiquait sur le mon reseau et sur le net...

[Muzo]

Bonjour résumons,

Ton minisite web et où? sur ta SME?
Si oui tout fonctionne alors.
Si non ah ben effectivement ca ne marchera jamais. Car tu as forwarder le port 80 vers un autre serveur, et tu voudrais que ta sme fournisse aussi le port 80, faut faire un choix, et forwarder un autre port que le 80 vers ta SME.

Autre question, quels sont les autres ports qui sont forwarder et qui ne sont aps transmis à la SME? T'es tu renseigné si par hasard ton FAI ne les bloquerait pas, ou si ton routeur ne les bloquerait pas? (car si une règle dit bloque le port puis une autre forward le même port, le port sera toujours bloqué)

C'était mes 2 cacahuètes pour faire avancer le schmilblick.

/Muzo

[cyrusblue]

Bonjour et merci

Oui mon mini-site web est ok, il est hebergé sur mon server sme (mode serveur seulement) de la maison
-> le port 80 sur mon modem-routeur redistribué sur 192.168.0.10 (Ip du server)
ça marche aussi très bien pour le service FTP et SSH à distance sur le web

maintenant j'aimerai ouvrir le port 10001 pour un autre service sur ma machine sme
-> le port 10001 sur mon modem-routeur redistribué sur 192.168.0.10 (Ip du server)
mais là ça ne marche pas à distance sur le web (c'est ok sur le reseau local)

sme doit bloquer quelque chose...
ça marchais bien avec windowsXp (même ip que sme)

ça ne serait pas un problème Netfilter & Iptables
D'après ce que j'ai compris il y a système de blocage de port sur toutes version linux kernel rescent (2.4.x) ? non ??

je n'ai toujours pas trouvé de bouée

[jibe]

Salut,

Ok, c'est plus clair. Mais tu ne dis rien à propos de ce que Muzo t'a dit de vérifier :

T'es tu renseigné si par hasard ton FAI ne les bloquerait pas, ou si ton routeur ne les bloquerait pas? (car si une règle dit bloque le port puis une autre forward le même port, le port sera toujours bloqué)

Le "ça marchait avant" ne veut rien dire pour nous qui ne connaissions pas ton ancienne config (déjà qu'on a du mal à comprendre ton actuelle... )

Essaie d'être clair et précis tant dans tes recherches de solution, tes tests et tes questions : On t'a donné le principe, que tu connaissais déjà plus ou moins d'ailleurs, pour forwarder les ports nécessaires. Pour t'aider plus, il nous faudrait bien connaitre ton problème. On sait enfin que le port concerné est le 10001. On avance

Maintenant, il serait utile d'avoir quelques précisions sur le service qui écoute ce port, si tu veux qu'on tente de te dire si SME risque ou non de bloquer quelque chose (m'étonnerait, mais c'est effectivement une question à vérifier... au même titre que les possibles blocages en amont, par le routeur et le FAI notamment).

Ou alors, si tu es sûr que le fait que "ça marchait avant" est une preuve suffisante que ça devrait marcher maintenant (je ne vois pas en quoi ça prouve que le FAI n'a pas subitement bloqué certains ports, mais supposons...), il te faut inventorier puis vérifier un par un tous les éléments qui ont changé entre le temps où ça marchait et celui où ça n'a plus marché. La réponse est alors forcément dans l'un d'eux

Mais perso, je me méfie toujours des "ça marchait avant"... Il est ahurissant de constater combien de personnes ne comprennent pas que Monsieur de La Palisse était encore vivant un quart d'heure avant sa mort !

[cyrusblue]

je confirme ça marchais et ça marche encore sur windowsXP (je viens de faire un test)
donc Non, mon FAI ne me bloque pas le port 10001

linux est très nouveau pour moi (et j'ai encore beaucoup de chose à comprendre ), j'avais commencer avec mandriva pour découvrir il y a 1-2 mois...
je pense que je vais retenter cette distribution juste pour re-tester (si le port est aussi bloqué) sur un autre (vieux) pc...

et je serai vraiment sur que c'est bien sme qui bloque des ports (a priori par securité je pense, comme c'est un serveur...)

je vous tiens au courant...

Ps: je suis peut-être tetu mais cela n'a pas un rapport avec la config "Iptables" j'ai lu une doc sur google, ça pourrai être un souci de ce type...?
comme ça http://www.c-sait.net/cours/iptables.php

[sibsib]

Hello,

Une question de fond : que veux-u faire ?

J'explique ma question : Ouvrir un port, tout seul, çà n'a pas de sens : S'il n'y a pas de process derrière qui est prêt à recevoir une connxion sur ce port, tu seras eu.

Donc, deux ca peuvent se présenter :

1) tu as installé une application de la mort qui tue sur ton SME. Dans ce cas, il faut effectivement ouvrir le port correspondant sur SME (au moins en mode server & gateway, et apparemment également en mode server sur SME 7, çà je ne l'ai pas testé, mais de nombreux posts semblent le confirmer).

Si tu es dans ce cas, il faut un peu mettre les mains dans le cambouis en SME 6. En SME 7, je te renvoie à la bible :
http://smeserver.fr/astuces.php?astuce=net_port_open

2) tu souhaites faire transiter un trafic via ta SME pour atteindre une machine interne. Ceci n'a de sens qu'en mode server & gateway.
Dans ce cas (pareil en SME 6 et SME 7), tu passes par le server-manager, Sécurité --> renvoi de ports.

N'hésites pas à nous écrouler d'infos : tu sais probablement fort bien ce que tu veux faire, mais nous non !

A+,
Pascal

[jibe]

Salut,

Ps: je suis peut-être tetu mais cela n'a pas un rapport avec la config "Iptables" j'ai lu une doc sur google, ça pourrai être un souci de ce type...?
comme ça http://www.c-sait.net/cours/iptables.php

Quelle est la question ???
Tu nous renvoies à une doc expliquant configurer iptables, mais qu'est-ce qui te chagrine là-dedans ? Netfilter et Iptables est un système de firewall qui fonctionne très bien, et qui est celui utilisé sur la SME. Il n'y a aucun problème avec, à partir du moment où il a été configuré correctement.

Je pense que tu découvres certaines choses (aucune honte à ça ) et que tu tentes de trouver des explications à ton problème. Démarche qui n'est pas si mauvaise, on reproche d'ailleurs très souvent aux débutants de ne pas chercher et d'attendre des solutions toutes faites type "recette de cuisine".

Mais en l'occurence, tu nous demandes de l'aide, et pour cela il faut absolument nous fournir un max de renseignements (je répète ce que t'a dit sibsib, qui te disait la même chose que moi dans mon précédent post ). Ne pas présupposer l'origine du problème, ni quoi que ce soit (d'où mon insistance à vérifier que ton FAI ne s'est pas mis subitement à bloquer des ports, ou à nous dire que tu en as bien eu la preuve). Donne les détails, surtout ceux qui te paraissent inutiles : c'est à nous de faire le tri, pas à toi

Si tu veux affiner ta démarche de recherche de problème et de demande d'aide, lis ces excellents conseils d'ESR, l'auteur de fetchmail (pas SME-fetchmail, celui-là c'est sibsib ). Les conseils qui te seront surtout utiles sont à partir du paragraphe 3.5 : pour ceux d'avant, tu te débrouilles déjà mieux que la moyenne

[Gaston]

Salut,
j'ai été interpellé et comme j'avais (presque) 5 minutes, j'ai testé:

sur un SME7 (à jour) en serveur only
un écouteur de socket sur le port 10001
un routeur avec le port 10001 forwardé sur l'@IP de la SME7

- connexion à partir du LAN ==> OK
- connexion à partir du WAN ==> NOK

je fait tomber le FW (service masq stop)

- connexion à partir du LAN ==> OK
- connexion à partir du WAN ==> OK

Cela confirme donc ton pb.
Par contre je suis pas doué en iptables, j'ai cru qu'un

Code: Tout sélectionner

[root@mul94 ~]# /sbin/iptables -A INPUT  -p tcp --dport 10001 -j ACCEPT
[root@mul94 ~]# iptables -L | grep 1000
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:10001


me laisserait passer, et ben non , j'ai du louper un truc ...

J'espère avoir correctement résumé le problème et si quelqu'un à la solution ...

G.

[micjack]

Ou se trouve ton serveur ? si il est sur ton serveur only, c'est INPUT, si non , c'est PREROUTING pour aller sur le LAN.. (y'a pas de FORWARD dans le sens WAN --> Lan )

Mais en fait, j'espere avoir compris ta question

[cyrusblue]

J'ai essayé et rentré par mal de ligne de commande
mais j'ai aussi le même blocage...
comme

Code: Tout sélectionner

iptables -t filter -A INPUT --protocol tcp --destination-port 10001 --jump ACCEPT
iptables -t filter -A OUTPUT --protocol tcp --source-port 10001 --jump ACCEPT
iptables -A INPUT -p tcp --dport 10001 -i ppp0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 10001 -o ppp0 -j ACCEPT

et j'ai aussi

Code: Tout sélectionner

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:10001

mais non ça bloque sur le net...

[tomtom]

Ce post est interressant

Gaston, ton erreur vient du fait que les règles iptables se lisent dans l'ordre. Quand tu utilises -A tu ajoutes une règles à la fin de tatable, donc si une règle avant a droppé ton paquet, ben ta règle ne sert à rien.

Si tu remplace -A par -I ca devrait tomber en marche


Ceci dit, si je trouve que ce post est interressant, c'est que dans l'autre troll^h^h^h^h post sur les architectures, je me demandais pour quelle raison saugrenue les règles iptables ne seraient pas appliquées en mode serveur only. Ceci répond à ma question, elles sont appliquées !


Donc pour répondre à la question d'origine, il est probable que la SME se vérouille pour que des services lancés par erreur voire par un attanquant ne soient pas accessibles. Je ne sais pas si l'interface d'administration permet d'ouvrir des ports si les services ne sont pas gérés dans l'interface.

Au pire des cas, un

Code: Tout sélectionner

iptables -I INPUT -p tcp --dport monport -j accept


te débloquera temporairement (jusqu'au prochain redemarrage), et un script "a la con" (c) te remettra ça au demarrage.

Dans le meilleur cas, l'interface te permet d'ouvrir un port.

Dans un cas intermediaire, tu devras fouiller dans l'acrhitecture SME pour trouver comment sont bricolées les règles par shorewall (si la SME utilise toujours ça ?) et pour mettre ton port à l'endroit adequat.


t.

[tomtom]

Je n'avais pas vu ton message, c'est bien INPUT et ta règle en sortie ne sert à rien (filtrage statfull).

t.

[Franck78]

Code: Tout sélectionner

[root@mul94 ~]# /sbin/iptables -A INPUT  -p tcp --dport 10001 -j ACCEPT
[root@mul94 ~]# iptables -L | grep 1000
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:10001


me laisserait passer, et ben non , j'ai du louper un truc ...

c'est peut être pas du TCP:10001 mais de l'UDP:10001

Un port tout seul n'a pas de sens.