Bonjour,
Je suis nouveau sur le forum, et je ne trouve nul par un problème équivalent, y compris sur des forums anglais.
J'ai établi mon firewall pour sécuriser au maximum le serveur que j'utilise, et j'ai toujours eu un temps de connexion sur le ssh de l'ordre de 10 à 20s.
Cela ne me dérangeais pas jusqu'à ce que je m’aperçois que c'est généralisé (mumble, ts, minecraft, steam, etc.) sur le serveur (hors http qui est instantané).
J'ai approfondi les recherche et 50% (précisément) des paquets sont drops par le firewall alors qu'ils sont autorisés d'après la traduction des règles que j'ai défini.
Voici les règles:
Pour les besoins de test, j'ai mis la sortie en ACCEPT.
Les variables sont défini en entête du script.
function iptables_v4_v6 {
iptables "$@"
ip6tables "$@"
}
# Reset des filtres
iptables_v4_v6 -t filter -F
iptables_v4_v6 -t filter -X
# Blocage général pour les nouvelles connexions
iptables_v4_v6 -t filter -P INPUT DROP
iptables_v4_v6 -t filter -P FORWARD DROP
iptables_v4_v6 -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Autorisation de tout le traffic sur l'interface loopback
iptables_v4_v6 -t filter -A INPUT -i lo -j ACCEPT
# Autorisation du ping
iptables_v4_v6 -t filter -A INPUT -p icmp -j ACCEPT
# Autorisation du SSH
iptables_v4_v6 -t filter -A INPUT -p tcp --dport ${SSH_PORT} -j ACCEPT
iptables_v4_v6 -t filter -A OUTPUT -p tcp --dport ${SSH_PORT} -j ACCEPT
# Autorisation du DNS
iptables_v4_v6 -t filter -A INPUT -p tcp --dport domain -j ACCEPT
# Autorisation du HTTP/HTTPS
iptables_v4_v6 -t filter -A INPUT -p tcp --dport http -j ACCEPT
iptables_v4_v6 -t filter -A INPUT -p tcp --dport https -j ACCEPT
# Autorisation du Mumble
iptables_v4_v6 -t filter -A INPUT -p tcp --dport ${MUMBLE_TCP_PLAGE_FIRST}:${MUMBLE_TCP_PLAGE_LAST} -j ACCEPT
iptables_v4_v6 -t filter -A INPUT -p udp --dport ${MUMBLE_UDP_PLAGE_FIRST}:${MUMBLE_UDP_PLAGE_LAST} -j ACCEPT
Lorsque tout est ouvert, tout fonctionne correctement, et lorsque je rajoute le drop, c'est le retour des 50% de drop, et pas chez tout le monde, j'ai un belge qui se connecte au mumble et qui n'a aucun souci.
Je ne sais pas si ça peu aider, je suis chez kimsufi, et c'est leur version debian jessie que j'ai installé.
iptables est à jour avec la version iptables v1.4.21
Je ne sais plus quoi faire pour résoudre ce problème, et je ne souhaite pas ouvrir tout les ports
Dernière modification par Alexandre (05-10-2017 15:07:52)