Help REJECT (Iptables?)

[svart]

Bonjour, <BR> <BR>J'ai un problème non identifié : je perds momentanément la connexion au firewall depuis ma machine LAN (bien que ladite machine soit définie dans hosts avec l'option routestopped). L'accès au mandataire Squid est perdu (comme l'atteste les logs), la connexion SSH ne peut s'initier, et l'interface Web est refusée en accès. <BR> <BR>Si j'ai une connexion active SSH au même moment, elle reste active, mais je ne peux en initier de nouvelle. Si j'essaie d'accéder au net depuis une machine LAN, le domaine est résolu, mais il est "impossible d'afficher la page" (c'est la page d'erreur de IE et pas celle de Squid) <BR> <BR>Le problème se manifeste quelques minutes, et soudain tout revient à la normale. <BR> <BR>Je trouve alors systématiquement dans /var/log/messages la ligne suivante ::Sep <BR> <BR>firewall kernel: Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth1 SRC=192.168.0.1 DST=195.140.140.28 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=56245 DF PROTO=TCP SPT=2129 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 <BR> <BR>Si j'ai bien lu les manuels, ceci doit correspondre à une règle d'iptables et non à une règle ou polices réglées dans Shorewall. J'ai vérifié toutes les fichiers de config sans rien voir de particulier. - mais je n'ai pas l'oeil exercé. <BR> <BR>Le nom de domaine est résolu, il semble donc que le cache DNS fonctionne normalement. L'accès internet est UP. <BR> <BR>Ce que je peux comprendre, c'est FORWARD:REJECT:IN=eth1 OUT=eth1 > pourquoi la interface se suivre la requête vers elle-même ? Je dois mal lire ou comprendre cette ligne. <BR> <BR>Une fois cette ligne apparue, le journal fait apparaitre deux commandes qui reviennent plusieurs fois à la suite, dans des séries de longeur variables : <BR> <BR> firewall CROND[3503]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR> firewall CROND[3508]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR> firewall CROND[3511]: (root) CMD ( /usr/sbin/monitoring.pl) <BR> firewall CROND[3520]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR> firewall CROND[3525]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR> <BR>Je suis bien ennuyé avec ça car c'est la dernière chose qui ne fonctionne pas sur ma passerelle ! <BR> <BR>J'ai ouvert un autre post intitulé "Déconnexions fréquentes mais qui se retablissent" dans lequel j'expose le problème de façon très confuse, d'où ce nouvel essai. (les Inuxadmins peuvent d'ailleurs le supprimer s'ils le souhaitent. j'ai essayé mais j'ai pas le droit <IMG SRC="images/smiles/icon_smile.gif">. <BR> <BR>J'avoue avoir besoin d'aide devant cette situation car je ne sais absolument y remédier. J'ai bien consulté /etc/init.d/iptables mais j'a lapin compris... <BR> <BR>Simon <BR>

[Wizard_Spike]

Je suis désolé de ne pas pouvoir t'aider plus...Je n'y connais pas grand chose malheureusement... <BR> <BR>pour ta ligne: <BR>"firewall kernel: Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth1 SRC=192.168.0.1 DST=195.140.140.28 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=56245 DF PROTO=TCP SPT=2129 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 " <BR> <BR>J'ai regardé, en fait c'est donc une comm entre eth1 et eth1 dont la source est 192.168.0.1 et la destination est 195.140.140.28. Le port source est 2129 (je pense que ça n'a pa beaucoup d'importance) et le port de destination est 80 (ce qui est déjà plus important ^^). <BR>En gros il rejette brutalement une communication d'une machine à l'autre de type http... Le problème c'est que la "machine" et l'"autre" sont tout deux eth1 <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR>Si ça peut aider... <BR> <BR>Y aurais marqué IN=eth0 et OUT=eth1 ça m'aurait paru plus normal (si eth0 est le coté internet et eth1 le coté LAN)... <BR> <BR>sur tous les messages du style que tu as eut, c'est toujours avec DPT=80??<BR><BR><font size=-2></font>

[svart]

Oui toujours le port 80 ; et je suis bien d'accord avec toi : ce serait eth0 vers eth1 que ça me semblerais plus logique ! <BR> <BR>En revanche, ta formulation me fait réagir : <BR> <BR>La source est 192.168.0.1 (ma machine sur le LAN). L'IP de la carte eth1 (correspondant au WAN) est 192.168.1.1. <BR> <BR>Se pourrait-il que ce soit le masquerade qui soit mal défini ? Eth1>192.168.1.1 rejetterait alors 192.168.0.1 comme martian source ? <BR> <BR>J'ai fait une manipulation : j'ai supprimé tous les services, toutes les règles d'exception (sauf celle qui me permettent de me connecter en https et SSH sur le firewall). Puis j'ai fait un shorewall clear. J'ai systématisé toutes les règles par défaut (policy) en excluant bien toutes les zones entre elles. Ensuite, j'ai reactivé les services Squid, cache DNS, Prelude et Snort. MNF a du coup recrée certaines règles d'exception qui j'avais tripoté. (notamment celle redigieant les requetes port 80 vers Squid). <BR> <BR>Cause > effet ? En tout cas ça semble plus bcp stable que tout à l'heure. Je confirmerait sur ce poste le succès ou l'échec de cette démarche. <BR> <BR>Détail intéressant : un shorewall check affiche le message Error: server port may not be specified in an ACCEPT rule; rule: "ACCEPT lan fw::3328 tcp www - all" alors que cette règle est crée par MNF soi-même. Elle est cependant nécessaire. <BR> <BR>Il faudrait que je fasse l'historique des questions / problèmes rencontrés et des solutions attenantes pour aider les nouveaux comme moi... <BR> <BR> <BR>

[Wizard_Spike]

oulaaaaa ça commence à devenir hard là ^^ <BR> <BR>Alors, tu as supprimé les règles et désactivé les services. A la ré-activation des services, MNF a créé quelques règles en lien direct avec les divers services nouvellement ré-activés... <BR>Donc si ça re-fonctionne correctement c'est qu'une des exceptions configurées dans le shorewall était mauvaises. c'est vraiment pas con comme idée^^ c'est vrai qu'on se perd vite quand on modifie un peu souvent les excpetions... <BR> <BR>Par contre c'est vraiment bizarre j'ai du mal à comprendre la ligne d'erreur (l'exception générée par MNF qui marche pas), tu peux la lire coorectement? (interface source et destination, port source et destination etc...) ça pourrait-être interessant de voir à quoi ça pourrai bien servir... (a moins que tu ne le saches déjà ^^) <BR> <BR>En tout cas, si je puis me permettre un petit conseil: fait des sauvegardes de ta configuration MNF ^^ C'est possible et très simple à travers l'interface graphique. Et ça ne génère que des ptits fichiers textes, je trouve ça génial <IMG SRC="images/smiles/icon_wink.gif">

[svart]

En fait, ça déconne pire qu'avant... <BR> <BR>J'ai le sentiment que cette interface web ajoute un degré de complexité : j'irais je crois plus vite si je pouvais modifier directement les fichiers de shorewall ! <BR> <BR>Dans l'ajout de règles d'exception, on ne peut pas entrer directement un port. Faut passer par les ports préselectionnés. <BR> <BR>J'ai une règle : <BR>ACCEPT:info fw:Eth1 wan icmp echo <BR> <BR>Mais depuis MNF impossible de pinger le routeur qui est à deux mètres ! Opération interdite. <BR> <BR>MNF commence à me brouter.