logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-09-2018 23:34:48

Harry_Cover
Membre
Inscription : 26-09-2018

DNS noip.com indispo en local

Bonjour smile

Je me permets ce poste car je commence à tourner en rond.

J'ai une machine local en DEBIAN, APACHE et un compte gratuit NOIP.COM

RAS pour les configuration de tout cela car depuis mon téléphone portable (en GSM) ou depuis un PC extérieur a mon réseau local, le DNS de NOIP affiche bien la MAIN PAGE de mon serveur WEB.

Par contre depuis un PC local (y compris le localhost) ou mon téléphone en wifi local, le DNS ne fonctionne pas , je n'ai accès au site WEB uniquement via 192.168.1.20:8080.

J'ai parcouru le web et me suis focalisé sur '/etc/hosts' mais rien n'y fait.

Auriez vous une idée ? Ce problème n'est pas bloquant mais j'aimerais bien comprendre.

PS : cela peut-il venir de mon IPTABLE ? dans le doute :

# Vider les tables actuelles
iptables -t filter -F

# Vider les règles personnelles
iptables -t filter -X

# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# SSH In
iptables -t filter -A INPUT -p tcp --dport 2222 -j ACCEPT

# SSH Out
iptables -t filter -A OUTPUT -p tcp --dport 2222 -j ACCEPT

# DNS In/Out
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT

# NTP Out
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# ---

# HTTP + HTTPS Out
iptables -t filter -A OUTPUT -p tcp --dport 8080 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT

# HTTP + HTTPS In
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT

# Flood ou déni de service
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

# Scan de ports
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

Dernière modification par Harry_Cover (29-09-2018 23:35:31)

Hors ligne

#2 30-09-2018 00:09:40

anonyme
Invité

Re : DNS noip.com indispo en local

Bonjour,

Si je ne m'abuse, si pour le OUTPUT le dport est 53 alors 53 est le sport dans le INPUT. wink

iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
et pareil en udp

Mes 2 cts smile

#3 30-09-2018 07:51:42

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : DNS noip.com indispo en local

salut,

ce n'est pas un souci de dns, depuis ton réseau local, tu sors pour rentrer via l'ip public...
avec un zywall ça marche, mais avec un routeur basique comme une livebox, ce n'est pas possible

2 choix:

modifier le fichier /etc/hosts, mais sur chaque poste du réseau local, y compris smartphone (ce sera un peu plus compliqué smile ) pour y mettre

192.168.1.20     host.dyndns.net



installer un dns local sur le serveur, y créer une zone pour faire pointer host.dyndns.net sur l'ip local
et donc par défaut modifier le dns primaire du réseau local, si dhcp via routeur, voir si on peut lui donner un autre dns que lui-même, sinon faudra aussi refaire un dhcp maison smile


o_O

Hors ligne

#4 30-09-2018 12:36:15

Harry_Cover
Membre
Inscription : 26-09-2018

Re : DNS noip.com indispo en local

Merci pour votre intérêt.

La modification :
      iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
n'a pas changé la donne, mais j'ai approfondi mes connaissances sur le sujet, merci.

@Freemaster, merci pour les explications et l'orientation. je mettrais cela en place dans un second temps. Car non prioritaire dans mon projet.

Amicalement

Hors ligne

#5 30-09-2018 13:19:40

raleur
Membre
Inscription : 03-10-2014

Re : DNS noip.com indispo en local

Harry_Cover a écrit :

cela peut-il venir de mon IPTABLE ? dans le doute :


Ce sont les règles iptables de quelle machine ? Le serveur ou un poste client ?
Si c'est le serveur, je m'étonne qu'il soit accessible par 192.168.1.20:8080 alors que le port 8080 n'est pas autorisé en entrée mais seulement en sortie par les règles iptables.

Harry_Cover a écrit :

# Flood ou déni de service
iptables -A FORWARD -p tcp --syn -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p udp -m limit --limit 1/second -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/second -j ACCEPT

# Scan de ports
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT


Ça vient d'où ? Il me semble avoir déjà vu ces conneries ailleurs, il faudrait dire à la source de corriger.

tux12 a écrit :

Si je ne m'abuse, si pour le OUTPUT le dport est 53 alors 53 est le sport dans le INPUT.


Tu t'abuses. La règle INPUT ne sert pas à accepter les réponses entrantes aux requêtes DNS sortantes, qui sont déjà acceptées par la règle ESTABLISHED, mais les requêtes DNS entrantes. Ce n'est évidemment utile que si la machine fait tourner un serveur DNS qui doit être accessible par d'autres machines.
Une règle INPUT avec --sport serait la porte ouverte à toutes les intrusions.

Dernière modification par raleur (30-09-2018 13:20:37)


Il vaut mieux montrer que raconter.

Hors ligne

#6 30-09-2018 13:48:19

Harry_Cover
Membre
Inscription : 26-09-2018

Re : DNS noip.com indispo en local

Cela est l'iptables du serveur DEBIAN.

je ne balance pas mes sources d’habitude wink
https://openclassrooms.com/fr/courses/1 … veur-linux

Je m'excuse de faire confiance à autrui, pourtant, j'essaie de ne pas y aller les yeux fermés smile

Hors ligne

#7 30-09-2018 14:30:51

raleur
Membre
Inscription : 03-10-2014

Re : DNS noip.com indispo en local

Je suis au regret de dire que ce cours contient de grosses bêtises sur l'utilisation d'iptables... Il faudrait vraiment que quelqu'un qui a accès le signale.

Pour revenir à ton script, il n'autorise pas le port 8080 en entrée (seulement en sortie, ce qui est inutile s'il écoute sur ce port) donc s'il est exécuté sur le serveur qui a l'adresse 192.168.1.20 je ne vois pas comment l'URL http://192.168.1.20:8080 depuis une autre machine que le serveur lui-même peut aboutir.

Dernière modification par raleur (30-09-2018 14:31:27)


Il vaut mieux montrer que raconter.

Hors ligne

#8 30-09-2018 15:28:21

anonyme
Invité

Re : DNS noip.com indispo en local

raleur a écrit :

Tu t'abuses. La règle INPUT ne sert pas à accepter les réponses entrantes aux requêtes DNS sortantes, qui sont déjà acceptées par la règle ESTABLISHED,


Puis-je sans abuser faire remarquer que dans le cas d'une connexion tcp le SYN-ACK ne fait pas partie des paquets reconnus par ESTABLISHED ?

edit: Harry_Cover, en dehors des problèmes de parefeu évoqués ci-dessus, les propositions de Freemaster sont tout à fait pertinentes, en particulier l'ajout d'une ligne dans le /etc/hosts est rapide à mettre en place (sur un PC tout au moins) et à tester.

Dernière modification par anonyme (30-09-2018 16:05:30)

#9 30-09-2018 17:00:15

raleur
Membre
Inscription : 03-10-2014

Re : DNS noip.com indispo en local

tux12 a écrit :

dans le cas d'une connexion tcp le SYN-ACK ne fait pas partie des paquets reconnus par ESTABLISHED


Si. Autrement, dans quel état serait-il classé ?
Tu confonds peut-être avec l'état de la socket TCP (affiché par netstat ou ss) qui ne passe à ESTABLISHED qu'après l'acquittement du packet SYN/ACK ?


Il vaut mieux montrer que raconter.

Hors ligne

#10 30-09-2018 18:00:15

anonyme
Invité

Re : DNS noip.com indispo en local

raleur a écrit :

Autrement, dans quel état serait-il classé ?


NEW ? Ça ne me paraît pas illogique étant donné que c'est le premier paquet à passer dans ce sens.

Je ne confonds pas, je fais référence à mes connaissances et mises en œuvre d'iptables. J'ai d'ailleurs pris la précaution de refaire la manip avant de répondre. wink
Malheureusement je n'arrive pas à mettre la main sur une doc "officielle" mais on trouve un peu partout sur le web l'idée qu'ESTABLISHED est l'état d'une connexion qui a vu passer au moins 1 paquet dans chaque sens. Par exemple ici ou encore ici dans la première réponse.

#11 30-09-2018 18:28:56

raleur
Membre
Inscription : 03-10-2014

Re : DNS noip.com indispo en local

tux12 a écrit :

NEW ? Ça ne me paraît pas illogique étant donné que c'est le premier paquet à passer dans ce sens.


Mais ce n'est pas le premier paquet de la connexion. Le but du suivi de connexion étant de pouvoir traiter les connexions notamment en fonction de leur direction initiale (connexion entrante/sortante), ce serait particulièrement contre-productif. Certes la correspondance conntrack permet de spécifier si le paquet appartient à la direction originelle ou réponse, mais la correspondance state qui a été développée initialement pour exploiter le suivi de connexion n'a pas cette possibilité.

tux12 a écrit :

J'ai d'ailleurs pris la précaution de refaire la manip avant de répondre.


Quelle manip ?

tux12 a écrit :

ESTABLISHED est l'état d'une connexion qui a vu passer au moins 1 paquet dans chaque sens.


Exact. Le paquet en cours de traitement y compris.

tux12 a écrit :

je n'arrive pas à mettre la main sur une doc "officielle"


man iptables-extensions

Dernière modification par raleur (30-09-2018 18:37:04)


Il vaut mieux montrer que raconter.

Hors ligne

#12 30-09-2018 20:52:39

anonyme
Invité

Re : DNS noip.com indispo en local

raleur a écrit :

Quelle manip ?



Sur le "serveur", après avoir lancé un

nc -l -p 1234



  iptables -P INPUT DROP
  iptables -A INPUT -p tcp --dport 1234 -j ACCEPT
 


    // à ce stade le OUTPUT étant en ACCEPT on peut envoyer des données au nc en écoute

  iptables -P OUTPUT DROP


    // là ça ne fonctionne plus

et effectivement il en manque un bout, en ajoutant
 

iptables -A OUTPUT -p tcp --sport 1234 -m state --state ESTABLISHED -j ACCEPT


ça se passe beaucoup mieux. J'était tellement sûr de moi que je n'ai pas jugé bon d'ajouter cette règle (en fait j'ai dû raisonner à l'envers; la règle pour les ESTABLISHED n'est pas utile vu que le paquet est NEW) sad.

Excuse mon insistance raleur mais tu viens de mettre fin à un mythe; depuis 2005-2006, époque ou j'avais un peu mis le nez dans iptables, j'avais en mémoire l'explication donnée plus haut, suite sans doute à l'époque aussi à une erreur de manip ou de raisonnement. J'ai un vague souvenir d'avoir trouvé ce fonctionnement curieux à l'époque en essayant de détailler les règles pour les SYN, SYN/ACK et ACK, mais je ne saurais plus dire pourquoi précisément. Il faudrait que je me repenche sur les détails de conntrack et state.
Dans tous les cas j'étais bien persuadé depuis lors de ce fonctionnement, et je te remercie de m'avoir donné l'occasion de rétablir la réalité. J'espère ne pas avoir abusé de ta patience wink

Voilà donc un point éclairci. Il reste à attendre le retour de Harry_Cover smile

#13 01-10-2018 20:04:37

Harry_Cover
Membre
Inscription : 26-09-2018

Re : DNS noip.com indispo en local

Bonsoir,

j'ai modifié hosts sur un pc W10, mais cela ne donne pas de résultat.
De même sur le SRV en lui même, fichier hosts modifié et pas de résultats.

:s

Hors ligne

#14 01-10-2018 20:11:17

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : DNS noip.com indispo en local

sur ton pc windows 10, tu as modifié quoi ? pour mettre quoi ? et aussi via l'ip est-ce accessible ? parce que si tu n'as pas accès à cause de ton firewall approximatif... c'est normal que cela ne marche pas sur le port 8080

o_O

Hors ligne

#15 01-10-2018 20:13:53

raleur
Membre
Inscription : 03-10-2014

Re : DNS noip.com indispo en local

Et si on éclaircissait cette histoire de port ?

raleur a écrit :

je m'étonne qu'il soit accessible par 192.168.1.20:8080 alors que le port 8080 n'est pas autorisé en entrée mais seulement en sortie par les règles iptables.



Edit : grillé par Freemaster

Dernière modification par raleur (01-10-2018 20:14:40)


Il vaut mieux montrer que raconter.

Hors ligne

#16 01-10-2018 23:11:00

Harry_Cover
Membre
Inscription : 26-09-2018

Re : DNS noip.com indispo en local

Autant pour moi,

sous W10 :
192.168.1.20:8080 affiche ma page
mon.nom.domaine.fr tombe en timeout au bout de 30s
j'ai modifié C:\Windows\System32\drivers\etc\hosts :
192.168.1.20:8080    mon.nom.domaine.fr (l'espace est une tabulation)
je tombe toujours en timeout sur W10

sous DB9 :
IDEM dans /etc/hosts
192.168.1.20:8080 fonctionne
je tombe toujours en timeout avec mon.nom.domaine.fr sur DB9

Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2222
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8080
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https

Chain FORWARD (policy DROP)
target     prot opt source               destination        
ACCEPT     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
ACCEPT     udp  --  anywhere             anywhere             limit: avg 1/sec burst 5
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request limit: avg 1/sec burst 5
ACCEPT     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5

Chain OUTPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:2222
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     udp  --  anywhere             anywhere             udp dpt:ntp

Hors ligne

#17 02-10-2018 06:14:26

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : DNS noip.com indispo en local

et ben voilà
tu modifies

192.168.1.20:8080    mon.nom.domaine.fr



en

192.168.1.20    mon.nom.domaine.fr


et tu accèderas à ton url à l'adresse http://mon.nom.domaine.fr:8080/
si tu ne veux pas indiquer le port, tu fais écouter le serveur web sur le port 80 tout simplement


o_O

Hors ligne

#18 02-10-2018 09:01:51

raleur
Membre
Inscription : 03-10-2014

Re : DNS noip.com indispo en local

Harry_Cover a écrit :

192.168.1.20:8080    mon.nom.domaine.fr


On ne doit pas mettre de numéro de port dans le fichier hosts. Seulement des adresses IP et des noms d'hôtes.

Je suppose que tu as créé sur la box une redirection du port 80 vers le port 8080 du serveur. Y a-t-il une raison particulière pour ne pas avoir utilisé le port 80 sur le serveur ?

Freemaster a écrit :

si tu ne veux pas indiquer le port, tu fais écouter le serveur web sur le port 80


Aors il faudra aussi autoriser le port 80 en entrée dans les règles iptables. Au passage, les règles en place montrées dans le message #16 ne correspondent pas au script posté dans le message #1. Pas terrible comme base de discussion.


Il vaut mieux montrer que raconter.

Hors ligne

#19 03-10-2018 18:19:09

Harry_Cover
Membre
Inscription : 26-09-2018

Re : DNS noip.com indispo en local

Hello,

Merci cela fonctionne correctement sans préciser le port.

Hors ligne

Pied de page des forums