 |
||
| ||
| |||||
| Sujet auquel vous répondez | |
|---|---|
| Sujet : Problème de configuration du Serveur !!! | |
| jlighty | du contenu de rules, zones, policy
ou alors si tu peux mettre en ligne les fichiers de configuration de shorewall (tar -zcvf shoreconfig.tar.gz /etc/shorewall/ puis envoi l'archive shoreconfig.tar.gz) |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| ThESeRvEuR | il indique que c'est uniquement pour Windows 2000 |
| jlighty | à la rigueur ça permet de savoir quels sont les ports ouverts :
http://nmapwin.sourceforge.net/ pour le PC sous windows |
| ThESeRvEuR | je suis entrain de faire scanner les port ouvert sur http://scan.sygate.com/ pour voir un petit peu si tout est "normalement" bon pour moi (est ce que tu pense quand le faisant sous windows je peux voir si il y a des problème ? |
| ThESeRvEuR | je pense plus que c'est un problème d'accès USER que j'ai pas du configurer mais bon ca c'est pas grave au pire m'en fou, tout compte fait je suis revenu mais je dois faire du message donc je reste connecté sur HARDWARE :hello: |
| jlighty | donc le ping passe dans les 2 sens.
Concernant le FTP, il faudrait que tu verifies la configuration de ton serveur FTP (nom ?) pour spécifier l'intervalle de port pour la connexion en mode passif. Puis il faudra spécifier cet intervalle dans shorewall
|
| ThESeRvEuR | oui aucun problème pour ca. J'arrive même à pinguer ver 82.249.69.99 (mon ftp, adresse de connexion) mais toujours pour mon ftp impossible de m'y connecter depuis windows regarde toi si tu as la fenetre d'identification qui s'affiche mais normalement oui (sous linux je l'ai) Erreur : Le canal de transfert n'a pas pu être ouvert. Raison : Aucune connexion n'a pu être établie car l'ordinateur cible l'a expressément refusée. Erreur : N'a pas pu récupérer la liste du répertoire |
| jlighty | arrive tu, depuis le poste sous Windows de pinguer le poste sous linux et inversement ? |
| ThESeRvEuR | ah ok |
| jlighty | fw -> c'est le firewall lui même
|
| ThESeRvEuR | NON tjr pareil :pfff: :pfff: :pfff: au fait : fw = forwardé net = internet loc = local c ca j'espere ? (en tout cas j'ai deja appris bcp sur linux grace à toi merci beaucoup dejà) |
| jlighty | ça marche cette fois ci ?
(j'avais le même "problème" sur mon serveur, pas de possibilité de pinguer à l'exterieur -> "sendmsg: Operation not permitted", il a fallu seulement autoriser le ping à sortir et à entrer pour que ça marche) |
| jlighty | oui, c'est ça 0,8 |
| ThESeRvEuR | ca c'est normal ?
Processing /etc/shorewall/policy... Policy ACCEPT for fw to net using chain fw2net Policy REJECT for fw to loc using chain all2all Policy DROP for net to fw using chain net2all Policy REJECT for loc to fw using chain all2all Policy ACCEPT for loc to net using chain loc2net Il y a pas une ligne que je peux rajouter pour ouvrir tout les port entre mon pc win et mon serveur linux pour etre tranquille ? |
| ThESeRvEuR | voici le resultat ds "messages" après de rafraichissement :
Aug 4 15:43:54 lns-th2-10-rei-82-249-69-99 kernel: Shorewall:all2all:REJECT:IN= OUT=eth1 SRC=192.168.1.2 DST=192.168.1.20 LEN=155 TOS=0x00 PREC=0x00 TTL=64 ID=2169 DF PROTO=UDP SPT=27015 DPT=1308 LEN=135 Aug 4 15:43:57 lns-th2-10-rei-82-249-69-99 nmbd[3155]: [2005/08/04 15:43:57, 0] libsmb/nmblib.c:send_udp(758) Aug 4 15:43:57 lns-th2-10-rei-82-249-69-99 nmbd[3155]: Packet send failed to 192.168.1.255(137) ERRNO=Operation not permitted Aug 4 15:43:57 lns-th2-10-rei-82-249-69-99 nmbd[3155]: [2005/08/04 15:43:57, 0] nmbd/nmbd_packets.c:send_netbios_packet(163) Aug 4 15:43:57 lns-th2-10-rei-82-249-69-99 nmbd[3155]: send_netbios_packet: send_packet() to IP 192.168.1.255 port 137 failed Aug 4 15:43:57 lns-th2-10-rei-82-249-69-99 nmbd[3155]: [2005/08/04 15:43:57, 0] nmbd/nmbd_namequery.c:query_name(237) Aug 4 15:43:57 lns-th2-10-rei-82-249-69-99 nmbd[3155]: query_name: Failed to send packet trying to query name MDKGROUP<1d> Aug 4 15:44:18 lns-th2-10-rei-82-249-69-99 kernel: Shorewall:all2all:REJECT:IN= OUT=eth1 SRC=192.168.1.2 DST=192.168.1.20 LEN=155 TOS=0x00 PREC=0x00 TTL=64 ID=2183 DF PROTO=UDP SPT=27015 DPT=1308 LEN=135 Pour ACCEPT loc fw icmp 0,11 - je met des virgules on est d'accord mais je remplace 11 par 8 |
| jlighty | Regarde à nouveau les logs de shorewall, surtout les paquets ICMP (ping) droppés. |
| jlighty |
|
| ThESeRvEuR | mais la c bon simplement le problème est toujours le même :lol: |
| jlighty | sinon tu peux remplacer les "ACCEPT..." par
|
| ThESeRvEuR | aucun changement :pt1cable: |
| ThESeRvEuR | il y a une erreur il faut mettre une virgule au lien des 2 points :-) |
| jlighty | au lieu de 0:11 essaye de mettre 8 |
| ThESeRvEuR | il y a une erreur lorsque je relance shorewall : iptables v1.2.9: Invalid ICMP type `0:11'
|
| jlighty |
|
| ThESeRvEuR | Bon j'ai des infos ! Explication :
Lorsque j'ai reconfigurer le pc, réinstallé steam... je n'ai pas touché au pare feu !! Par contre lors du lancement du serveur, personne n'avais accés. Aucune erreur pour moi mais toujour aucun accés quand même. J'ai donc ajouté 27015/tcp 27015/udp dans le regle du pare feu. L'accés pour les autres est maintenant ok mais toujours pas pour moi (tu me suis j'espère) Par contre, chose peut etre importante, je sais pas, lorsque je fais "RACHAICHIR LA LISTE" j'ai maintenant "NET_SendPacket ERROR: Operation not permitted" Je sais pas si ca t'avance cette explication en plus mais bon... (N'y a t'il pas un moyen d'ajouté des ouverture ou des redirection dans le fichier rules de shorewall !) |
| jlighty |
|
| jlighty | Par contre je n'arrive pas à comprendre pourquoi, dans la configuration par défaut, les ports 137-139 et 445 soient accessibles.
Tu peux corriger ce problème pour la zone net dans le fichier rules.
|
| ThESeRvEuR | OH MERDE JE DOIS FAIRE A MANGER !!! je te laisse tranquille pour ce soir ;-) je te dirais quoi pour demain MERCI ENCORE POUR TOUS TES UN POTE TOI :love: |
| ThESeRvEuR | voici ce que ca donne au redémarrage :
Setting up NAT... Adding Common Rules IP Forwarding Enabled Processing /etc/shorewall/tunnels... Processing /etc/shorewall/rules... Rule "ACCEPT net fw udp 137,138,139 -" added. Rule "ACCEPT net fw tcp 80,443,22,20,21,137,138,139 -" added. Rule "ACCEPT loc fw udp 137,138,139 -" added. Rule "ACCEPT loc fw tcp 80,443,22,20,21,137,138,139 -" added. Rule "REDIRECT loc 3128 tcp www -" added. Rule "ACCEPT fw net tcp www" added. Processing /etc/shorewall/policy... Policy ACCEPT for fw to net using chain fw2net Policy DROP for net to fw using chain net2all Policy REJECT for loc to fw using chain all2all Policy ACCEPT for loc to net using chain loc2net Masqueraded Subnets and Hosts: To 0.0.0.0/0 from 192.168.1.0/255.255.255.0 through eth0 Processing /etc/shorewall/tos... Rule "all all tcp - ssh 16" added. Rule "all all tcp ssh - 16" added. Rule "all all tcp - ftp 16" added. Rule "all all tcp ftp - 16" added. Rule "all all tcp ftp-data - 8" added. Rule "all all tcp - ftp-data 8" added. Processing /etc/shorewall/ecn... Activating Rules... Processing /etc/shorewall/start ... Shorewall Restarted [root@lns-vlq-40-rei-82-252-20-160 shorewall]# |
| jlighty | oui comme ce que tu as indiqué.
Et n'oublie pas de redémarrer Shorewall |
| ThESeRvEuR | je dois juste ajouter une diese !!
#192.168.0.0/16 logdrop # RFC 1918 |
| jlighty | ? avec kwrite ou gnome-edit ou vi... tu devrais pouvoir l'ouvrir (attention il faut être root pour pouvoir écrire dedans)
Ouvre un terminal et tappe : kwrite /etc/shorewall/rfc1918 ensuite tu dois redémarrer shorewall /etc/init.d/shorewall restart |
| ThESeRvEuR | OK |
| jlighty | Dans le fichier rfc1918, il y a une ligne bizarre :
|
| jlighty | Efface rapidement ton mail, à moins que tu ne veuilles q'un robot à spam récupère ton adresse et te la pourrisse ;) |
| ThESeRvEuR | j'ai déposer le fichier tar.gz ici http://lilou749032863.free.fr/serv [...] fig.tar.gz |
| jlighty | du contenu de rules, zones, policy
ou alors si tu peux mettre en ligne les fichiers de configuration de shorewall (tar -zcvf shoreconfig.tar.gz /etc/shorewall/ puis envoi l'archive shoreconfig.tar.gz) |
| ThESeRvEuR | de quoi as tu besoin dans ces fichiers ?? enfin je veux dire il te faut lesquels ? |
| jlighty | Le problème provient uniquement de shorewall même pour l'erreur "NET_SendPacket ERROR: Operation not permitted "
(peut être est ce un ping que le serveur veut envoyer) Le moyen serait de configurer Shorewall correctement. Il y a t-il une interface graphique pour le configurer, si ce n'est pas le cas, il faudrait que tu me fournisses les fichiers contenus dans /etc/shorewall/ |
| ThESeRvEuR | derniere chose avant : lorsque je fais "rachaichir la liste" sous steam et que je repasse sous linux j'ai cette erreur dans la fenetre du terminal NET_SendPacket ERROR: Operation not permitted je pense que je vais tout reprendre des le début, c'est à dire formater, réinstaller et reprendre la configuration... |
| jlighty | Ah ok, il a dropé le paquet provenant du FTP (port 21)
il faudrait que je réexamine les règles d'IPtables car c'est le firewall Linux qui bloque un peu trop. |
| ThESeRvEuR | j'ai trouvé ca : Aug 3 12:46:38 lns-vlq-40-rei-82-252-20-160 proftpd[4923]: lns-vlq-40-rei-82-252-20-160.adsl.proxad.net (192.168.1.20[192.168.1.20]) - error: unable to set groups: Invalid argument
et ca Aug 3 12:46:39 lns-vlq-40-rei-82-252-20-160 kernel: Shorewall:all2all:REJECT:IN=eth1 OUT= MAC=00:0c:f6:0b:29:9b:00:0e:a6:4b:23:f0:08:00 SRC=192.168.1.20 DST=82.252.20.160 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=2868 DF PROTO=TCP SPT=1232 DPT=32905 WINDOW=65535 RES=0x00 SYN URGP=0 j'ai également trouvé ca dans un coin du fichier /var/log/messages Aug 3 12:55:08 lns-vlq-40-rei-82-252-20-160 drakconf.real[3880]: modified file /etc/mcc.conf Aug 3 12:55:08 lns-vlq-40-rei-82-252-20-160 su(pam_unix)[3844]: session closed for user root |
