Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 05-10-2017 16:05:48

Alexandre
Membre
Inscription : 05-10-2017

Perte de la moitié des paquets par le firewall

Bonjour,

Je suis nouveau sur le forum, et je ne trouve nul par un problème équivalent, y compris sur des forums anglais.

J'ai établi mon firewall pour sécuriser au maximum le serveur que j'utilise, et j'ai toujours eu un temps de connexion sur le ssh de l'ordre de 10 à 20s.
Cela ne me dérangeais pas jusqu'à ce que je m’aperçois que c'est généralisé (mumble, ts, minecraft, steam, etc.) sur le serveur (hors http qui est instantané).

J'ai approfondi les recherche et 50% (précisément) des paquets sont drops par le firewall alors qu'ils sont autorisés d'après la traduction des règles que j'ai défini.

Voici les règles:
Pour les besoins de test, j'ai mis la sortie en ACCEPT.
Les variables sont défini en entête du script.


function iptables_v4_v6 {
  iptables "$@"
  ip6tables "$@"
}

# Reset des filtres
iptables_v4_v6 -t filter -F
iptables_v4_v6 -t filter -X

# Blocage général pour les nouvelles connexions
iptables_v4_v6 -t filter -P INPUT DROP
iptables_v4_v6 -t filter -P FORWARD DROP

iptables_v4_v6 -A INPUT -m conntrack    --ctstate ESTABLISHED,RELATED -j ACCEPT

# Autorisation de tout le traffic sur l'interface loopback
iptables_v4_v6 -t filter -A INPUT -i lo -j ACCEPT

# Autorisation du ping
iptables_v4_v6 -t filter -A INPUT -p icmp -j ACCEPT

# Autorisation du SSH
iptables_v4_v6 -t filter -A INPUT -p tcp --dport ${SSH_PORT} -j ACCEPT
iptables_v4_v6 -t filter -A OUTPUT -p tcp --dport ${SSH_PORT} -j ACCEPT

# Autorisation du DNS
iptables_v4_v6 -t filter -A INPUT -p tcp --dport domain -j ACCEPT

# Autorisation du HTTP/HTTPS
iptables_v4_v6 -t filter -A INPUT -p tcp --dport http -j ACCEPT
iptables_v4_v6 -t filter -A INPUT -p tcp --dport https -j ACCEPT

# Autorisation du Mumble
iptables_v4_v6 -t filter -A INPUT -p tcp --dport ${MUMBLE_TCP_PLAGE_FIRST}:${MUMBLE_TCP_PLAGE_LAST} -j ACCEPT
iptables_v4_v6 -t filter -A INPUT -p udp --dport ${MUMBLE_UDP_PLAGE_FIRST}:${MUMBLE_UDP_PLAGE_LAST} -j ACCEPT
 



Lorsque tout est ouvert, tout fonctionne correctement, et lorsque je rajoute le drop, c'est le retour des 50% de drop, et pas chez tout le monde, j'ai un belge qui se connecte au mumble et qui n'a aucun souci.
Je ne sais pas si ça peu aider, je suis chez kimsufi, et c'est leur version debian jessie que j'ai installé.
iptables est à jour avec la version iptables v1.4.21

Je ne sais plus quoi faire pour résoudre ce problème, et je ne souhaite pas ouvrir tout les ports scratchhead.gif

Dernière modification par Alexandre (05-10-2017 16:07:52)

Hors ligne

#2 05-10-2017 17:31:14

raleur
Membre
Inscription : 03-10-2014

Re : Perte de la moitié des paquets par le firewall

Le délai de 20 secondes pour la connexion SSH peut être dû à une tentative de résolution du reverse DNS de l'adrese IP du client par le serveur, si les requêtes DNS sortantes ou leurs réponses entrantes sont bloquées.

Comment vois-tu que 50% des paquets sont bloqués ? Tu as des logs ? Je ne vois pas de règles LOG des paquets non acceptés.

Quand tu écris que tu as mis la sortie en ACCEPT pour test, qu'est-ce que cela signifie ? Qu'en temps normal elle est en DROP ? Quelle est l'influence sur le blocage des paquets ?

Commentaires sur les règles :
- Vérifie avec iptables-save et ip6tables-save que les règles actives correspondent bien à ce que tu veux.
- IPv6 n'utilise pas ICMP mais ICMPv6 donc il ne sert à rien d'accepter le protocole ICMP en IPv6. Avec ces règles, aucune communication en IPv6 sur une interface ethernet n'est possible à cause du blocage des paquets ICMPv6 en entrée.
- Ces règles n'autorisent que les requêtes DNS en TCP, mais les requêtes DNS utilise principalement le protocole de transport UDP, et le transport TCP seulement dans certains cas.
- Il y a vraiment un serveur DNS sur la machine ?

Hors ligne

#3 05-10-2017 18:00:52

Alexandre
Membre
Inscription : 05-10-2017

Re : Perte de la moitié des paquets par le firewall

Bonjour,

Merci pour la réponse smile

Lorsque j'ai tout d'ouvert, je n'ai pas ce delais de 20 secondes sur le SSH. Je suis d'accord qu'il y a quelque chose qui doit passer mais qui reste bloqué.

La première fois que j'ai vue les 50% de drop c'est sur mumble lors du test de connexion qui donne les statistiques sur les paquets. J'ai donc ajouté les règles pour voir les logs, et il s'avère que chaque fois c'est des paquets drop.
N'étant pas habitué a regarder des paquets ip en ligne de commande, je n'ai pas creusé plus.

Les règles de logs n'apparaissent pas dans mon premier poste pour laisser les règles de bases qui seront les plus proche de ce qui serra. Sans tenir compte de la sortie en drop aussi, avec les règles nécessaires. Mais je verrai plus tard quand l'entrée sera fonctionnelle smile

ICMPv6, je ne savais pas.

Il n'y a pas encore de DNS sur le serveur mais c'est en anticipation. Je vais tenir compte de ta remarque pour plus tard.

PS:
Je viens de corriger cela et ça semble fonctionner. je ne perd plus de paquets sur mumble, et la connection sur le SSH est instantané.
C'est lié au fait que la connexion est testé en ipv6 en premier lieu et ensuite en ipv4

Merci beaucoup.
Et dire que ça fait un an que je ne trouvais pas la solution smile

Hors ligne

Pied de page des forums