MNF instable ?

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar lotm » 22 Oct 2003 15:36

Bonjour ! <BR> <BR>je viens d'installer une MNF sur une de mes machines ... j'ai parametrer une redirection web correcte puisque celle ci a marché pendant 15 mn puis tout a coup plus rien ! et avec ce genre de message : <BR> <BR> <BR>Oct 22 15:23:07 routeur kernel: Shorewall:dmz2all:REJECT:IN=eth1 OUT= MAC=00:50:04:6b:9e:86:00:05:5d:0a:5a:09:08:00 SRC=192.168.1.25 DST=192.168.1.254 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=65533 DF PROTO=TCP SPT=1099 DPT=8443 WINDOW=16384 RES=0x00 SYN URGP=0 <BR>Oct 22 15:23:11 routeur kernel: Shorewall:dmz2all:REJECT:IN=eth1 OUT= MAC=00:50:04:6b:9e:86:00:05:5d:0a:5a:09:08:00 SRC=192.168.1.25 DST=192.168.1.254 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=18 DF PROTO=TCP SPT=1104 DPT=8443 WINDOW=16384 RES=0x00 SYN URGP=0 <BR>Oct 22 15:23:11 routeur kernel: Shorewall:dmz2all:REJECT:IN=eth1 OUT= MAC=00:50:04:6b:9e:86:00:05:5d:0a:5a:09:08:00 SRC=192.168.1.25 DST=192.168.1.254 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=20 DF PROTO=TCP SPT=1104 DPT=8443 WINDOW=16384 RES=0x00 SYN URGP=0 <BR> <BR>je tiens a preciser que je n'ai rien changer a la configuration pendant ce temps la car je cherchais a m'enregistrer sur le site mandrake <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR>quelqu'un a une idée d'ou cela peut venir ou a deja eu ce genre de problème ? <BR> <BR> <IMG SRC="images/smiles/icon_boxe2.gif">
Avatar de l’utilisateur
lotm
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 28 Avr 2003 00:00

Messagepar Guepi » 23 Oct 2003 06:46

Euh comment dire ... <BR> <BR>J'ai le même problème. Quand il y a trop de traffic sur le MNF, le Shorewall fini par saturer. <IMG SRC="images/smiles/icon_bawling.gif"> <BR>J'avais lu qu'en faisant un : shorewall clear <BR>cela solutionnait le problème, mais ce n'est pas vraiment "correct". <BR> <BR>Ceci dit, j'ai mis cette commande en crontab toutes les 2 heures... Et pour l'instant, ça fonctionne. <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_eek.gif">
Avatar de l’utilisateur
Guepi
Major
Major
 
Messages: 94
Inscrit le: 31 Juil 2003 00:00
Localisation: FR Paris

Messagepar lotm » 23 Oct 2003 08:40

Je ne peux pas me permettre une coupure je ne suis pas en permanence a verifier si mnf fonctionne ... je vais donc tenter d'utiliser IPCOP a la place <IMG SRC="images/smiles/icon_boxe2.gif">
Avatar de l’utilisateur
lotm
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 28 Avr 2003 00:00

Messagepar lembal » 23 Oct 2003 09:19

Comment ça ? Utiliser IPCOP pour remplacer MNF... c'est une aberration !!! T'as quoi comme type de ligne ? Quelles sont tes règles principales et tes règles exceptions ?
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar lotm » 23 Oct 2003 11:55

j'ai une superbe ligne adsl 2 gerée par un routeur FT mais le probleme ne viens pas de la mais bien de mnf .. quand j'ajoute une regle pour voir mon contenu de serveur web a partir du reseau local ( c'est la meme regle qui me servira sans la modifier pour la vue de l'exterieur ) elle fonctionne ! mais seulement pendant 20 mn voir moins et sans que je change quoi que ce soit elle s'arrete . je n'ai plus acces au contenu du serveur. <BR> <BR>j'ai pu le tester 4 fois de suite, et a chaque fois DMZ2ALL reject reviens a la charge mais seulement apres une dizaine de minute de fonctionnement correct ! <IMG SRC="images/smiles/icon_boxe2.gif">
Avatar de l’utilisateur
lotm
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 28 Avr 2003 00:00

Messagepar lotm » 23 Oct 2003 12:03

et je n'ai mis qu'une exception : <BR> <BR><!-- BBCode Start --><IMG SRC="http://www.atlog.tm.fr/reglemnf.jpg" BORDER="0"><!-- BBCode End --> <BR> <BR>les regles par defaut sont celles d'origine
Avatar de l’utilisateur
lotm
Second Maître
Second Maître
 
Messages: 39
Inscrit le: 28 Avr 2003 00:00

Messagepar nemesis » 23 Oct 2003 12:05

hum pourkoi c'est une abération remplacer MNF par ipcop je peux savoir? je susi interessé là <IMG SRC="images/smiles/icon_lol.gif">
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar svart » 27 Oct 2003 15:16

Je ne sais pas si ça peut aider mais j'ai eu ce genre de problemes avec MNF. <BR> <BR>Tout est résolu depuis que : <BR> <BR>- toutes mes cartes Ethernet sont de modèles différents sur la MNF <BR>- Le câblage est conforme (cad que eth0 et eth1 ne peuvent produire de boucles, je sais pas si c'est clair, mais si deux cartes sont accessibles physiquement sur le même réseau, elles peuvent se marcher dessus) <BR>- Je n'utilise plus l'interface d'admin pour faire dse modifs de config, mais je vais taper directement dans les fichiers, plus un petit script pour sauvegarder/restaurer ma config en cas de reboot <BR> <BR>Mais ça c'est peut etre ma réponse à mon probleme précis. <BR> <BR>Dans ton cas, l'extrait de journal dit clairement que shorewall refuse un échange entre 192.168.1.25 et 192.168.1.254 sur le port 8843 (et oui, le port d'interface web pour la mnf) en utilisant la regle DMZ to ALL. <BR> <BR>Il y a donc une règle qui n'est pas suivie ou mal lancée. POur ma part, je faisais pas mal de "shorewall restart" ou "shorewall check", cela permet de voir si des règles sont refusées lors du démarrage du service (ce que l'interface ne montre pas) <BR> <BR>Voilà si je peux aider hésite pas.
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar lembal » 27 Oct 2003 16:07

Nemesis : c'est une blaque, pas un début de Troll... j'apprécie juste énormément les produits MDK et surtout MNF qui pose tout de même moins de pb qu'IPCOP (c'est statistique !) <BR> <BR>Les autres gens : svart a peut-être raison : voir si toutes les cartes réseau sont différentes ! Voir aussi de ne pas avoir les même plages d'adresses IP + même masque pour le LAN et la DMZ genre : <BR>- LAN : 192.168.1.0/24 <BR>- DMZ : 192.168.10.0/24 <BR>Essayer de mettre une adresse de classe B ou A pour être tranquille... <BR> <BR>bon courage...
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar Jacques- » 28 Oct 2003 15:07

Bonjour, <BR> <BR>A priori; les adresses du LAN et de la DMZ sont dans le même subnet, ce qui pose problème en général . <BR>L'interface d'administration doit être du côté LAN, les serveurs côté DMZ et le routeur côté WAN. <BR>Ensuite, si les sous-réseaux sont cohérents, la MNF filtre et route sans problème d'un monde vers l'autre. <BR> <BR>Jacques <BR>
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)