Configuration serveur avec freebox et ipv6

Nneyrou · 19 août 2008

J'ai un petit problème de configuration réseau pour accéder a mon serveur fc9 depuis internet. Voici ma conf :

Freebox en mode routeur, ipv6 activé, et DMZ définie sur mon PC linux 192.168.0.100

Les ports SSH, et l'ouverture de session xdmcp sont parfaitement accessibles depuis les autres PC (windows) du réseau local mais pas depuis internet.
(j'ai pour cela configuré le part-feu a l'aide de system-config-firewall)

Il faut savoir que j'ai configuré l'eth0 en ipv4 fixe : 192.168.0.100, par contre je n'ai pas touché a la v6, qui est donc toujours en DHCP auto.
J'ai internet qui est parfaitement fonctionnel sur le pc linux, et les pc windows sont en 192.168.0.x. La freebox en 192.168.0.254

Est-ce la translation ipv6 / ipv4 qui pourrait poser problème ? Définir mon PC linux en tant que DMZ suffit-il pour que tout les ports soient accessibles de l'extérieur (ou faut-il qd même définir des règles spécifiques) ?

J'ai tenté de jeter un coup d'oeil au iptables, mais ce ne sont que des scripts à configurer via le gui (enfin je suppose).

Merci d'avance !

Hhugsy_75 · 19 août 2008

J'ai pas super bien compris!
Tu veux utiliser IPv4 ou IPv6 pour atteindre ton réseau local depuis l'extérieur ? C'est pas vraiment clair.

D'autre part, si tu veux une GUI pour configurer proprement les iptables, je te conseille de te tourner vers fwbuilder (dispo avec yum).

Refuznik · 19 août 2008

Est-ce la translation ipv6 / ipv4 qui pourrait poser problème ? Définir mon PC linux en tant que DMZ suffit-il pour que tout les ports soient accessibles de l'extérieur (ou faut-il qd même définir des règles spécifiques) ?

La translation n'a rien à voir là-dessus, ni même fedora.
Il faut faire un routage sur ta box pour dire quel becane tu veux atteindre à partir de ton ip fixe.

Nneyrou · 20 août 2008

hugsy_75 wrote:Tu veux utiliser IPv4 ou IPv6 pour atteindre ton réseau local depuis l'extérieur ? C'est pas vraiment clair.

Peu importe, la solution la plus simple me conviendra.

En tout cas, j'ai mis hors d'état de cause le DMX de la freebox,j'ai fait le test avec amuleweb, en configurant manuellement une règle sur le routeur port 4711 -> 192.168.0.100:4711 : c'est pas mieux. L'interface amuleweb est accessible depuis mon réseau local, mais pas depuis internet. (je précise qd même que j'ai l'habitude de configurer des firewall de box, et que le NAT marche très bien avec mon PC windows)

Le probleme vient donc bel et bien de la fedora qui filtre les paquets venant de l'extérieur du réseau !

J'ai fait un test en faisant : services iptables stop et service ipv6tables stop, c'est pareil...

Ma question est maintenant, y'a t'il un log des paquets rejetés ? J'ai jeté un bref coup d'oeil dans le rep /val/log, j'ai trouvé aucune trace de mes paquets perdus... (mais j'ai peut-être zappé qqch)

Etant au boulot, et faute de pouvoir accéder a ma bécane depuis le net 🙂 , j'essayerai ce soir fwbuilder, ça m'aidera peut-être.

Refuznik · 20 août 2008

Tu peux faire les tests externe en désactivant avant selinux et le parefeux de fedora, ça nous permettra déja de voir si ça vient de fedora ou du routage externe.

Hhugsy_75 · 20 août 2008

Avec un pare-feu désactivé, les paquets doivent forcément arriver sur ta machine si la redirection de ports est bien créée. Pour en être sûr, lances un sniffer de trafic (wireshark fera très bien l'affaire) pour savoir si ta machine reçoit bien les paquets.

Les fichiers de log qui pourront t'intéresser sont /var/log/secure et /var/log/messages (attention ils peuvent être très long).

bioinfornatics · 20 août 2008

Perso je me suis mis en ipv6 su ma freebox et j'ai rien eu a toucher sur le système Fedora...

Hhugsy_75 · 20 août 2008

bioinfornatics wrote:Perso je me suis mis en ipv6 su ma freebox et j'ai rien eu a toucher sur le système Fedora...

Ca ne marche même pas en IPv4 donc je pense que c'est moins en rapport avec IP qu'avec la redirection des ports.

Kkwizart · 20 août 2008

moi je pense plutot que c'est ta dmz qui ne fonctionne pas.
Déja tu parles de DMZ et de NAT. Donc je pense pas que tu soit si expérimenté que cela.
(Je vois pas l'interet de faire du NAT sur un poste en DMZ si jamais cela était possible...)

il n'y a pas de régles spécifiques à l'accès de port (depuis internet ou le réseau local) à moins que tu ne l'aies ajouté toi-même.
Si tu as ouvert ton port , il est probable qu'il le soit depuis internet aussi.

Comment fais tu pour tester depuis internet ? (question bête , mais sait-on...)

Nneyrou · 20 août 2008

(Je vois pas l'interet de faire du NAT sur un poste en DMZ si jamais cela était possible...)

Je vais essayer d'être clair :

Dans la mesure ou j'avais un doute sur le fonctionnement de la DMZ freebox (ce ne serait pas la première fois que la freebox serait mise en default), j'ai configuré manuellement une règle (tel que définie sur mon post précédent) afin de court-circuiter la DMZ pour mon port 4711 qui me sert de test.

Dans firefox (depuis un pc win),
http://192.168.0.100:4711 me donne accès a l'interface d'emuleweb. OK
http://monadressedns:4711 trouve l'adresse mais sort une erreur (111) Connexion refused (avec ou sans regle NAT : 4711 -> 192.168.0.100:4711)
http://monadressedns:4712 me donne bien accès a l'interface emule sur le pc windows. (regle NAT : 4712 -> 192.168.0.1:4711) OK
Pour tout ces tests, la DMZ est toujours configurée sur l'adresse 192.168.0.100

Je reste donc persuadé que la freebox est correctement configurée, par contre c'est la config de la fedora qui m'est plus obscure.

Refuznik me parle de désactiver selinux, c'est qqch que je n'ai pas encore essayé, a voir... (le part-feu, j'avais déjà essayé)

Par contre, je ne pense plus que l'ipv6 soit responsable de quoi que ce soit ! En local tout est en ipv4, une ipv6 a juste été assigné par le DHCP a chaque PC du reseau, fedora y compris, mais tout est transparent...

Refuznik · 20 août 2008

Ote moi un doute (désolé de donner l'imrpessiond e te prendre pour un neuneu mais j'ai vu un mec faire ce genre d'erreur sur un forum) :
- Lorsque tu dis plus haut adressedns on parle bien de ton adresse ip fixe attribué à ta freebox par free et non pas une adresse dns ?
- Quant tu testes ta connexion externe, avec ton ip fixe dans ton navigateur, tu le fais bien depuis un ordi qui n'est pas chez toi de ton boulot ou chez un copain ?

Sinon y a un truc que je ne comprend pas.

Tu attribues une adresse 192.168.0.100 à ton pc sous fedora, alors que derrière tu dis que tu es en dhcp. Il te faut donner l'adresse physique quant tu fais ta règle. Deux soluces soit tu testes en passant fedora en ip fixe c'est à dire 192.168.0.100, soit tu donnes dans les beaux dhcp son adresse mac de carte reseau.

Pour ton histoire d'ipv4 et d'ipv6, désactives directement le service ipv6 sur la fedora le temps de faire les test. pour selinux mets le mode permissifs ça suffit amplement.

Nneyrou · 20 août 2008

Refuznik wrote:Lorsque tu dis plus haut adressedns on parle bien de ton adresse ip fixe attribué à ta freebox par free et non pas une adresse dns ?

J'ai une adresse de type xxx.hd.free.fr ou xxx.dyndns.org qui pointe sur mon adresse publique.

Quant tu testes ta connexion externe, avec ton ip fixe dans ton navigateur, tu le fais bien depuis un ordi qui n'est pas chez toi de ton boulot ou chez un copain ?

Mêmes symtomes que ce soit de chez moi ou du boulot. (du boulot, j'accède très bien a mon pc windows (.1) mais pas au linux )

soit tu donnes dans les beaux dhcp son adresse mac de carte reseau.

C'est effectivement le cas, tous mes PC ont des baux DHCP fixes (@ mac configurée dans la box)

Encore une fois, merci de votre aide, mais je persiste a dire qu'il sagit d'un pb fedora, et non pas d'un problème réseau. Faites moi confiance pour la conf réseau(ce n'est absolument pas le premier réseau que je monte, dont un de 300 pc...). Quand je parle de problème, il est bien entendu que je ne parle pas de bug, mais juste de ma méconnaissance de la fedora, de selinux et des iptables (et des dernières distrib en général).

J'essaye de désactiver selinux des que je rentre du taf.

Pour info, le serveur en question est un via artigo (dont je suis plus que satisfait), sans ecran, clavier ou souris, sur lequel je fais toutes les manip en ssh/X11 et xdmcp. Tout cela marche très bien, mais en local seulement...

OoONoNoOo · 30 août 2008

Salut,

Comprend pas trop ton problème, mais déjà à tu activer la fonction DHCP (en ipv4) sur ton routeur, si oui il faut laisser définir une plage d'ip restreinte, et de plus ne pas fixer d'ip sur ton ordi, laisser l'option obtenir une adresse ip automatique dans ce cas tu n'utilise pas la redirection de port, autrement desactive ton DHCP et la tu attibues une ip fixe à ton ordi du style 192.168.000.xxx, et là tu peux configurer tes ports udp et tcp, comme ça tu pourra entré sur ton ordi en utilisant l'ip fixe (pas celle 192.168.000.xxx) en utilisant le port d'entrée. Petite info (ça m'est arrivé en configurant mon server team speak), il se peut que ça ne marche pas, alors mais en tête de la liste de redirection le port que tu veux ouvrir sur cette machine et là ça peut marcher (moi sans changer mes ports, ça fonctionne) et evite d'attribuer le même port à plusieurs adresses.

philippe_PMA · 31 août 2008

neyrou wrote:...
Le probleme vient donc bel et bien de la fedora qui filtre les paquets venant de l'extérieur du réseau !
...

Heuresement quelle les filtre !!!