Gros ploblème

[sboudbliff]

Bonjour.
suite à une coupure de courant, j'ai de gros soucis avec le firewall de mon serveur sme. (enfin je pense que ça vient du firewall ...):
- tous mes sites sont inaccessible de l'exterieur.
- tous les mails qui sont adressés au serveur sont renvoyés
- toutes les applis sur le reseau local necessitant une redirection de port ne fonctionne plus (alors que les redirections sont actives sur le server-manager)
Je ne sais pas par ou commencer. Quel log ou fichier de config ?

[sboudbliff]

Que puis je vérifier pour cerner le problème ?

[sibsib]

Yop,

Classique : /var/log/messages
Pour le firewall, peut-être (dépend de la conf, de la version de SME, d'un tas de choses qu'on ne peut pas deviner depuis ton premier post) /var/log/iptables/current

Aussi, il peut être intéressant de taper les commandes suivantes :

/etc/init.d/masq stop
/etc/init.d/masq start

qui devraient toutes deux renvoyer [ OK ]

A+,
Pascal

[sboudbliff]

salut,
je suis sur une sme 7.3 configuré en serveur+passerelle.
mon reseau local est sur eth0
le net sur eth1
j'arrive a accéder au net ainsi qu'à mes ibays depuis le reseau local.
mes ibays sont inaccessible depuis le net.
lorsque j'essaie d'utiliser une appli ayant besoin d'une redirection de port (ex: port 49500)
voici ce que j'ai trouvé dans /var/log/iptables/currnet

@4000000048fe6cb61c2d014c Oct 22 01:58:36 serveur denylog: IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=x.x.x.x DST=x.x.x.x LEN=40 TOS=00 PREC=0x00 TTL=243 ID=2962 DF PROTO=TCP SPT=61494 DPT=49500 SEQ=2329023426 ACK=0 WINDOW=0 ACK RST URGP=0

ou l'ip "DPT" est mon IP ETH1
Je précise que la redirection de port est bie, créée avec le server-manager

J'accede au serveur en ssh donc apres un /etc/init.d/masq stop, je n'ai plus acces et obligé de rebooter.

je met aussi les règles iptables

Code: Tout sélectionner

# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
state_chk  all  --  anywhere             anywhere           
local_chk  all  --  anywhere             anywhere           
PPPconn    all  --  anywhere             anywhere           
denylog    all  --  BASE-ADDRESS.MCAST.NET/4  anywhere           
denylog    all  --  anywhere             BASE-ADDRESS.MCAST.NET/4
ACCEPT     udp  --  anywhere             anywhere            udp dpts:bootps:bootpc
InboundICMP  icmp --  anywhere             anywhere           
denylog    icmp --  anywhere             anywhere           
InboundTCP  tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN
denylog    tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN
InboundUDP  udp  --  anywhere             anywhere           
denylog    udp  --  anywhere             anywhere           
ACCEPT     udp  --  anywhere             anywhere            udp spts:bootps:bootpc
gre-in     gre  --  anywhere             anywhere           
denylog    gre  --  anywhere             anywhere           
denylog    all  --  anywhere             anywhere           

Chain FORWARD (policy DROP)
target     prot opt source               destination         
state_chk  all  --  anywhere             anywhere           
local_chk  all  --  anywhere             anywhere           
ForwardedTCP  tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN
ForwardedUDP  udp  --  anywhere             anywhere           
denylog    all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
PPPconn    all  --  anywhere             anywhere           
denylog    all  --  BASE-ADDRESS.MCAST.NET/4  anywhere           
denylog    all  --  anywhere             BASE-ADDRESS.MCAST.NET/4
ACCEPT     all  --  anywhere             anywhere           

Chain ForwardedTCP (1 references)
target     prot opt source               destination         
ForwardedTCP_3219  all  --  anywhere             anywhere           
denylog    tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN

Chain ForwardedTCP_3219 (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             pc-00002.13canondor.ath.cx tcp dpt:49500

Chain ForwardedUDP (1 references)
target     prot opt source               destination         
ForwardedUDP_3219  all  --  anywhere             anywhere           
denylog    udp  --  anywhere             anywhere           

Chain ForwardedUDP_3219 (1 references)
target     prot opt source               destination         

Chain InboundICMP (1 references)
target     prot opt source               destination         
InboundICMP_3219  all  --  anywhere             anywhere           
denylog    icmp --  anywhere             anywhere           

Chain InboundICMP_3219 (1 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request
ACCEPT     icmp --  anywhere             anywhere            icmp echo-reply
ACCEPT     icmp --  anywhere             anywhere            icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere            icmp source-quench
ACCEPT     icmp --  anywhere             anywhere            icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere            icmp parameter-problem
denylog    all  --  anywhere             anywhere           

Chain InboundTCP (1 references)
target     prot opt source               destination         
InboundTCP_3219  all  --  anywhere             anywhere           
denylog    tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN

Chain InboundTCP_3219 (1 references)
target     prot opt source               destination         
denylog    all  --  anywhere            !1.1.1.1             
REJECT     tcp  --  anywhere             1.1.1.1             tcp dpt:auth reject-with tcp-reset
ACCEPT     tcp  --  anywhere             1.1.1.1             tcp dpt:http
ACCEPT     tcp  --  anywhere             1.1.1.1             tcp dpt:https
ACCEPT     tcp  --  anywhere             1.1.1.1             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             1.1.1.1             tcp dpt:smtps

Chain InboundUDP (1 references)
target     prot opt source               destination         
InboundUDP_3219  all  --  anywhere             anywhere           
denylog    udp  --  anywhere             anywhere           

Chain InboundUDP_3219 (1 references)
target     prot opt source               destination         
denylog    all  --  anywhere            !1.1.1.1             

Chain PPPconn (2 references)
target     prot opt source               destination         
PPPconn_1  all  --  anywhere             anywhere           

Chain PPPconn_1 (1 references)
target     prot opt source               destination         

Chain denylog (20 references)
target     prot opt source               destination         
DROP       udp  --  anywhere             anywhere            udp dpt:router
DROP       udp  --  anywhere             anywhere            udp dpts:netbios-ns:netbios-ssn
DROP       tcp  --  anywhere             anywhere            tcp dpts:netbios-ns:netbios-ssn
ULOG       all  --  anywhere             anywhere            ULOG copy_range 0 nlgroup 1 prefix `denylog:' queue_threshold 1
DROP       all  --  anywhere             anywhere           

Chain gre-in (1 references)
target     prot opt source               destination         
denylog    all  --  anywhere            !1.1.1.1             
denylog    all  --  anywhere             anywhere           

Chain local_chk (2 references)
target     prot opt source               destination         
local_chk_3219  all  --  anywhere             anywhere           

Chain local_chk_3219 (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     all  --  192.168.10.0/24      anywhere           

Chain state_chk (2 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

[sboudbliff]

j'ai oublié de dire que je n'ai rien trouvé de particulier dans le /var/log/messages

[sibsib]

J'accede au serveur en ssh donc apres un /etc/init.d/masq stop, je n'ai plus acces et obligé de rebooter.

Cà, c'est ballot

Mais il me parait difficile de diagnostiquer sans cette commande !

Tu peux tenter :

/etc/init.d/masq restart >/tmp/masq.log 2>&1

Mais je ne garantis pas.

Par contre, puisque tu peux faire un iptables -L (qui ne sert pas à grand chose sans la table nat, d'ailleurs), il semble que ton fichier masq soit exécuté.

Donc ce qui pourrait peut être être interressant :
cp /etc/init.d/masq /tmp
expand-template /etc/rc.d/init.d/masq (voir s'il y a des messages d'erreurs)
diff /tmp/masq /etc/init.d/masq (ne devrait rien afficher)
Si le diff a donné un message, retenter de relancer masq avec /etc/init.d/masq restart

A+,
Pascal

[sboudbliff]

J'accede au serveur en ssh donc apres un /etc/init.d/masq stop, je n'ai plus acces et obligé de rebooter.

Cà, c'est ballot

Tu peux tenter :

/etc/init.d/masq restart >/tmp/masq.log 2>&1

Code: Tout sélectionner

[root@serveur ~]# /etc/init.d/masq restart >/tmp/masq.log 2>&1
[root@serveur ~]# cat /temp/masq.log
cat: /temp/masq.log: Aucun fichier ou répertoire de ce type


Donc ce qui pourrait peut être être interressant :
cp /etc/init.d/masq /tmp
expand-template /etc/rc.d/init.d/masq (voir s'il y a des messages d'erreurs)
diff /tmp/masq /etc/init.d/masq (ne devrait rien afficher)
Si le diff a donné un message, retenter de relancer masq avec /etc/init.d/masq restart

aucune de ces commands ne me renvoi de message....?

[sibsib]

Salut,

Code: Tout sélectionner

[root@serveur ~]# /etc/init.d/masq restart >/tmp/masq.log 2>&1
[root@serveur ~]# cat /temp/masq.log
cat: /temp/masq.log: Aucun fichier ou répertoire de ce type


Toi, tu viens du monde de redmond C'est signé
/tmp/ <> /temp

Donc ce qui pourrait peut être être interressant :
cp /etc/init.d/masq /tmp
expand-template /etc/rc.d/init.d/masq (voir s'il y a des messages d'erreurs)
diff /tmp/masq /etc/init.d/masq (ne devrait rien afficher)
Si le diff a donné un message, retenter de relancer masq avec /etc/init.d/masq restart

aucune de ces commands ne me renvoi de message....?

Cà, çà voudrait dire que ton fichier /etc/rc.d/init.d/masq se génère sans erreur, et que son exécution (c'est à dire la création des règles iptables, en gros) se déroule également sans erreurs.
C'est un bon point, mais çà ne prouve pas que le fichier génère quelque chose d'exploitable.

A distance, çà devient un peu difficile de deviner ce qui s'est passé, mais tu as peut-être éventuellement fait une customisation de ton firewall qui ne serait plus compatible avec la version actuelle. Où, pire, tu as installé une contrib qui fout la scoumoune.
Pour le cas 1 :
Regardes si tu a un répertoire nommé :

Code: Tout sélectionner

/etc/e-smith/templates-custom/etc/rc.d/init.d/masq

Si ce dossier existe, renomme le, retentes la génération de masq, et redémarre le service pour voir si çà change. Le cas échéant, fais un diff du nouveau fichier masq par rapport à l'ancien.
Pour le cas 2 :
tu peux lancer la commande :

Code: Tout sélectionner

/sbin/e-smith/audittools/newrpms

Eventuellement, si la liste des rpms 'en trop' ne te cause pas, il reste la commande

Code: Tout sélectionner

/sbin/e-smith/audittools/templates

Qui va t'afficher toutes les modifs portées à tes templates.

A+,
Pascal

[sboudbliff]

Toi, tu viens du monde de redmond C'est signé
/tmp/ <> /temp

Arf! je suis démasqué

Code: Tout sélectionner

[root@serveur ~]# cat /tmp/masq.log

Shutting down IP masquerade and firewall rules:      Done!

Enabling IP masquerading: done


Pour le cas 1 :
Regardes si tu a un répertoire nommé :

Code: Tout sélectionner

/etc/e-smith/templates-custom/etc/rc.d/init.d/masq

Mon dossier /etc/e-smith/templates-custom/ est vide

Pour le cas 2 :
tu peux lancer la commande :

Code: Tout sélectionner

/sbin/e-smith/audittools/newrpms

Code: Tout sélectionner

[root@serveur ~]# /sbin/e-smith/audittools/newrpms
==============================================================
WARNING: Additional commands may be required after running yum
==============================================================
Loading "smeserver" plugin
Loading "installonlyn" plugin
Loading "fastestmirror" plugin
Setting up repositories
Loading mirror speeds from cached hostfile
Reading repository metadata in from local files
Excluding Packages from CentOS - updates
Finished
Excluding Packages from CentOS - os
Finished
Extra Packages
awstats.noarch                           6.7-1.el4.rf           installed       
hddtemp.i386                             0.3-0.beta12.2.2.el4.r installed       
mailman.i386                             3:2.1.5.1-34.rhel4.6.e installed       
rrdtool.i386                             1.2.27-3.el4           installed       
rrdtool-perl.i386                        1.2.27-3.el4           installed       
smeserver-awstats.noarch                 1.2-5.el4.sme          installed       
smeserver-lazy_admin_tools.noarch        0.9.1-2                installed       
smeserver-mailman.noarch                 1.3.0-18.el4.sme       installed       
smeserver-phpmyadmin-multiuser.noarch    2.11.9.2-1             installed       
smeserver-sme7admin.noarch               1.1.0-1                installed       
smeserver-tftp-server.noarch             1.0-2.el4.sme          installed       
smeserver-thinclient.noarch              2.0-5.el4.sme          installed       
smeserver-usbdisksmanager.noarch         0.2-5.el4.sme          installed       
================================================================
No new rpms were installed. No additional commands are required.
================================================================

cette liste "me cause" en effet. à part rrdtool qui ne me dit rien, ce sont toutes les contribs que j'ai installé sur le serveur.

[sibsib]

Bon, là je sais plus....

As tu tenté une reconfig complète de ton serveur ?

Code: Tout sélectionner

signal-event post-upgrade ; signal-event reboot

Aurais tu par hasrad une sauvegarde de ton serveur quelque part ? Histoire de chercher les diff dans ton masq ?

Après, il faudrait installer une SME propre(en vm, par exemple) et comparer les deux fichiers masq. Je ne te propose pas le mien, j'ai dit : "Une machine propre"

A+,
Pascal

[sboudbliff]

Bon, là je sais plus....

As tu tenté une reconfig complète de ton serveur ?

Code: Tout sélectionner

signal-event post-upgrade ; signal-event reboot

Aurais tu par hasrad une sauvegarde de ton serveur quelque part ? Histoire de chercher les diff dans ton masq ?

Après, il faudrait installer une SME propre(en vm, par exemple) et comparer les deux fichiers masq. Je ne te propose pas le mien, j'ai dit : "Une machine propre"

A+,
Pascal

la reconfig n'a rien changé.
j'ai aussi tenté de, via l'interface admin, de configurer en mode "serveur seul" puis de revenir à une config "passerelle & serveur"...sans succès.
je n'ai malheuresement pas de backup qui date d'avant le plantage.
je m'oriente plutot vers une reinstal complete et recuperation avec lazyadmintool sur la sauvegarde que je viens d'effectuer.

[sibsib]

Yop,

Si tu en as la possibilité :
Montes une machine neuve, mais regarde à ce moment le fichier masq par rapport à ton 'pourri'.

Sinon, même si la réinstall complète est évidemment lourde, comme je ne vois pas à distance quoi te proposer de mieux...

Courage,
Pascal

[sboudbliff]

Réinstal complète effectuée.
merci de ton soutien
a+

david

[DIYMan]

Hello,

Bon, j'arrive apres la bataille mais je suis curieux donc je pose quand-meme ma question (tant pis pour mes doigts si sa tappe...) :

N'y aurait-il pas eu des modifications effectuees sur la configuration sans tenir compte des templates et que, apres coupure de courant et redemarrage, reinitialisation de toute la mecanique SME, les modifs non integreees dans el tamplates soient parties en "fumee", d'ou des incoherences "invisibles" par une methode de diagnostique "conventionnelle" (perso, je me considere encore comme primo-debutant...) ??

Bon, si je dois me faire insulter, fracasser, etc... tachez de faire ca vite et bien (et en meme temps si vous etes a plusieurs), que je ne souffre pas trop longtemps, ce sera plus facile a encaisser. lol

A++

Diym