logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#51 12-08-2019 13:26:09

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

ps: a partir du client ça fonctionne , la passerelle accepte les requêtes


La passerelle accepte tout le trafic sortant à destination d'internet et du réseau local de la livebox !
C'est une chose aussi que l'on peut corriger.

Dernière modification par enicar (12-08-2019 13:27:06)

Hors ligne

#52 12-08-2019 13:55:21

anonyme
Invité

Re : [resolu]Migration de iptables a nftables sur un client debian10

ça risque de compliquer les choses , normalement mes machines sont propres avec le minimum de services.
j'ai la météo sur le bureau qui fonctionne  tongue  lol (xfce4 et mate )

en tout cas nftables est bien plus clair et simple que iptables .
je passe sur une autre machine

#53 12-08-2019 14:04:35

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

en tout cas nftables est bien plus clair et simple que iptables .
je passe sur une autre machine


C'est aussi ce que je pense, et je ne suis pas le seul wink

Hors ligne

#54 12-08-2019 14:26:30

anonyme
Invité

Re : [resolu]Migration de iptables a nftables sur un client debian10

tien un autre message en plus de l'imprimante sur une autre machine


Aug 12 15:02:16 kabylake1 kernel: [67905.174119] INPUT_DROP IN=enp0s31f6 OUT= MAC=ff:ff:ff:ff:ff:ff:60:45:cb:9a:c9:93:08:00 SRC=0.0.0.0
DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308
 



0.0.0.0 c'est toutes IP du réseau roll

#55 12-08-2019 14:31:33

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

0.0.0.0 c'est toutes IP du réseau


Si tu regardes bien,  c'est de l'udp (0.0.0.0:68, 255.255.255.255:67),
c'est un dhcp discover. Autrement, c'est une machine qui demande
une ip. La première requête ne peut pas avoir d'adresse source, donc
on utilise 0.0.0.0

Hors ligne

#56 12-08-2019 15:52:07

anonyme
Invité

Re : [resolu]Migration de iptables a nftables sur un client debian10

avec un reject du port 168 ça va être bloqué
si c'est presque finit niveau modification , a la fin je mettrai le dernier nftables appliqué (client et passerelle )

Dernière modification par anonyme (12-08-2019 16:41:02)

#57 12-08-2019 15:56:21

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

si c'est presque finit niveau modification , a la fin je mettrai le dernier nftables appliqué (client et passerelle )


C'est là qu'un logiciel comme puppet (ou autre) est utile. Ça permettrait d'appliquer toutes
les modifications sans devoir aller dans les confs de chaque machine. D'un autre côté, c'est une
usine à gaz ce genre de trucs et c'est difficile à prendre en main, il me semble.

Hors ligne

#58 12-08-2019 15:57:44

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

avec un reject du port 68 ça va être bloqué


Pas sur la passerelle, sinon les machines de ton sous réseau vont avoir du mal
à obtenir une adresse ip wink

Hors ligne

#59 12-08-2019 16:48:11

anonyme
Invité

Re : [resolu]Migration de iptables a nftables sur un client debian10

je confond avec le 168 de netbios , je vérifie cette machine  roll
le dhcp ne doit pas être drop.

#60 12-08-2019 16:52:13

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

je confond avec le 168 de netbios


Pour le netbios et consort c'est 137,138 et 139.
168 n'est pas dans /etc/services…

Hors ligne

#61 12-08-2019 16:53:25

anonyme
Invité

Re : [resolu]Migration de iptables a nftables sur un client debian10

le log du client


Aug 12 17:26:46 kabylake1 dhclient[534]: DHCPREQUEST for 192.168.10.53 on enp0s31f6 to 192.168.10.1 port 67
Aug 12 17:26:46 kabylake1 dhclient[534]: DHCPACK of 192.168.10.53 from 192.168.10.1
Aug 12 17:26:46 kabylake1 dhclient[534]: bound to 192.168.10.53 -- renewal in 11111 seconds.
 



le serveur


Aug 12 17:26:46 debian1 dhcpd[878]: DHCPREQUEST for 192.168.10.53 from 2c:4d:54:54:68:ea (kabylake1) via enp6s0f1
Aug 12 17:26:46 debian1 dhcpd[878]: Wrote 9 leases to leases file.
Aug 12 17:26:46 debian1 dhcpd[878]: DHCPACK on 192.168.10.53 to 2c:4d:54:54:68:ea (kabylake1) via enp6s0f1
 

Dernière modification par anonyme (12-08-2019 16:57:57)

#62 12-08-2019 16:58:23

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

Oui, c'est la négociation pour l'obtention d'une adresse ip avec dhcp.

Hors ligne

#63 12-08-2019 17:00:57

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

Sur les clients tu devrais voir que dhclient écoute en upd sur le port 68
avec la commande :


ss -nlup |grep dhclient
 

Hors ligne

#64 12-08-2019 18:07:30

anonyme
Invité

Re : [resolu]Migration de iptables a nftables sur un client debian10

=> https://fr.wikipedia.org/wiki/Dynamic_H … n_Protocol


L’ordinateur équipé de carte réseau, mais dépourvu d’adresse IP, envoie en diffusion Broadcast un datagramme (DHCP DISCOVER)
qui s’adresse au port 67 de n’importe quel serveur à l’écoute sur ce port.
Ce datagramme comporte entre autres l’adresse physique (MAC) du client.
 




Aug 12 14:52:34 debian30 kernel: [ 8491.811937] INPUT_DROP IN=enp3s0 OUT= MAC=ff:ff:ff:ff:ff:ff:60:45:cb:9a:c9:93:08:00
SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308
 



il se l' envoie a lui même et la refuse  tongue
celui la de message je peu pas l'éviter , commenter la ligne des log de nftables , sinon pas possible
de plus pourquoi envoyer  "en diffusion Broadcast un datagramme (DHCP DISCOVER) " alors qu il a une IP et qu'il connait le serveur dhcp.
quelque chose m' échappe  roll
c'est pas très souvent , pas de quoi saturer le log  wink


ss -nlup |grep dhclient
 



UNCONN    0         0                  0.0.0.0:68               0.0.0.0:*        users:(("dhclient",pid=750,fd=7))
 

Dernière modification par anonyme (12-08-2019 18:09:44)

#65 12-08-2019 18:13:10

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

de plus pourquoi envoyer  "en diffusion Broadcast un datagramme (DHCP DISCOVER) " alors qu il a une IP et qu'il connait le serveur dhcp.
quelque chose m' échappe


Au moment il fait la demande d'ip, dhclient ne connaît pas non plus l'adresse
du serveur dhcp. C'est ensuite quand le serveur lui répond qu'il peut négocier
avec le serveur.

Hors ligne

#66 12-08-2019 18:22:24

anonyme
Invité

Re : [resolu]Migration de iptables a nftables sur un client debian10

il est allumé depuis depuis 6h15mn  , et c'est maintenant qu il se pose la question  tongue
quoique 14h54 le input_drop , il est 19h c'est possible
............. tongue

ceci sert a quoi ?


lease {
  interface "enp3s0";
  fixed-address 192.168.10.49;
  option subnet-mask 255.255.255.0;
  option routers 192.168.10.1;
  option dhcp-lease-time 28800;
  option dhcp-message-type 5;
  option domain-name-servers 192.168.10.1;
  option dhcp-server-identifier 192.168.10.1;
  option ntp-servers 192.168.10.1;
  option broadcast-address 192.168.10.255;
  option domain-name "mondomaine";
  renew 1 2019/08/12 21:01:04;
  rebind 2 2019/08/13 00:15:44;
  expire 2 2019/08/13 01:15:44;
}
 



dans /var/lib/dhcp/dhclient-enp3s0.leases

moi je pense qu'il y un truc qui va pas mais bon , c'est peut être normal
il y en a trois avant dans le fichier , le premier commence


renew 0 2019/08/11 20:59:00;
  rebind 0 2019/08/11 20:59:00;
  expire 0 2019/08/11 20:59:00;
 

Dernière modification par anonyme (12-08-2019 18:36:20)

#67 12-08-2019 18:35:48

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

dans /var/lib/dhcp/dhclient-enp3s0.leases


Ce sont les paramètres du bail. Ça donne les paramètres réseau, et la date
d'expiration du bail. On en fait on ne fait que louer une adresse ip pour un certains
laps de temps. Ça se règle dans le serveur dhcp.

Pour le fonctionnement du dhcp tu peux regarder ici :
https://www.thegeekstuff.com/2013/03/dhcp-basics/

Dernière modification par enicar (12-08-2019 18:38:55)

Hors ligne

#68 12-08-2019 18:40:00

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

moi je pense qu'il y un truc qui va pas mais bon , c'est peut être normal


Quoi ? C'est normal que tu pense qu'il y a un truc qui ne va pas ? big_smile

Hors ligne

#69 12-08-2019 18:48:18

anonyme
Invité

Re : [resolu]Migration de iptables a nftables sur un client debian10

et alors ça justifie pas l'envoi d'un "DHCP DISCOVER"
la première chose a faire c'est vérifier si l'ip est disponible encore , si non il lui en donne une nouvelle  , si oui il lui renouvelle juste le bail .
mais a priori ça marche pas comme cela
ps: mon imprimante en dhcp a gardé son ip 192.168.10.32 ,depuis son installation. (toujours libre aucune raison de la modifié , le bail est mit a jour).
enfin c'est pas grave  wink

un truc qui ne va pas oui , mais quoi ? l'attribution des IP est correct , le DNS est mit a jour correctement smile

Dernière modification par anonyme (12-08-2019 18:50:01)

#70 12-08-2019 18:52:58

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

anonyme a écrit :

et alors ça justifie pas l'envoi d'un "DHCP DISCOVER"
la première chose a faire c'est vérifier si l'ip est disponible encore , si non il lui en donne une nouvelle  , si oui il lui renouvelle juste le bail .
mais a priori ça marche pas comme cela


Ben, il y a la façon dont ça fonctionne et la façon à laquelle on s'attend que ça
fonctionne… Moi, je ne fais qu'observer. Il faut lire les RFC sur le sujet pour vraiment
savoir ce qui avait été prévu, et ensuite il peut exister des clients ou/et des serveurs
qui ne respectent pas les spécifications.

Hors ligne

#71 12-08-2019 19:09:52

enicar
Membre
Lieu : pas ici
Distrib. : sid
Noyau : Linux 6.5.3
(G)UI : openbox
Inscription : 26-08-2010

Re : [resolu]Migration de iptables a nftables sur un client debian10

Dans le lien que j'ai pointé dans le post #67. Il est expliqué que lorsque la moitié du temps
du bail est passé, le client essaie de le renouveler en envoyant un dhcp request. Si la demande
est accepté par le serveur celui-ci répond avec un dhcp ack.

Quand le bail a expiré, le serveur est libre de réatribuer une adresse à une autre machine.

Normalement quand une machine qui a obtenu une adresse par dhcp est sur le point
de s'éteindre, il faudrait que le client dhcp envoie un dhcp release pour libérer le bail
qu'elle détenait.

Hors ligne

Pied de page des forums