[iptables] ping impossible (résolu)

[Glaucos]

Bonjour,

j'ai installé récemment le firewall iptables. Pour utiliser mon PC comme serveur, j'avais besoin d'ouvrir un port, je l'ai fait via

Code : Tout sélectionner

iptables -A INPUT -i eth0 -p tcp --dport 8000 -j ACCEPT

Mais impossible de se connecter...
J'ai essayé de pinger mon ip publique depuis l'extérieur mais aucune réponse.

J'ai aussi autorisé le protocole ICMP:

Code : Tout sélectionner

iptables -A INPUT -p icmp -j ACCEPT

mais le ping ne marche toujours pas ?

Est ce que j'ai oublié quelque chose ?

Merci d'avance.

[archey]

Il nous faudrait plus d'infos sur la configuration de ton réseau.

Fais d'abord ces tests dans l'ordre

Accèdes tu au serveur en question en local à partir du serveur lui-même (127.0.0.1)? Ca marche?
Accèdes tu au serveur à partir d'un autre PC du même réseau avec l'IP locale (192.168.x.x)? Ca marche? Si ça marche pas, est-ce que ça marche avec iptables de désactivé sur le serveur (ou avec comme politique de tout laisser passer)
Accèdes tu au serveur avec l'IP publique (disponible ici)? Ca marche?

Es-tu derrière un routeur?
Le routeur est-il configuré pour rediriger le(s) port(s) concerné(s) vers le PC faisant office de serveur?

Voilà, si tu pouvais également nous dire le type de serveur que tu mets en place, celà pourrait également nous aider à localiser un éventuel problème.

[oktoberfest]

Salut,

par défaut iptables laisse tout passer. Donc tes règles ne seront utiles que si tu as commencé par restreindre l'accès.

Comme l'indique archey, regarde déjà du côté de ton routeur. Parce que bon, comment le routeur sait qu'il doit rediriger les requêtes du port 8000 vers ton pc .... ? Il faut que tu forwardes les ports dont tu as besoin.
Quant au ping, c'est sans doute une config à modifier au niveau de ton routeur/box.

Quel est ton fournisseur d'accès à Internet ? Ensuite en fonction du routeur tu trouveras sans doute sur Internet tous les renseignements pour te connecter dessus en admin et faire les modifications de paramétrage nécessaires.

[Glaucos]

Salut,

merci de vos réponses, en fait j'aimerais faire tourner deux serveurs, un vpn sur le port 1595 udp et un serveur d'une application perso sur le port 8000 udp.
Pour ce qui est du réseau, il comporte deux PC:
-un pc sous Windows(192.168.1.10), qui fait office de client, sur lequel j'ai installé le client perso pour contacter le serveur sur le port 8000, et aussi openvpn GUI.
-un pc sous Archlinux(192.168.1.12), qui fait office de serveur, sur lequel j'ai configuré un serveur vpn et j'ai lancé mon serveur sur le port 8000.

Toute connexion en local de 192.168.1.10 à 192.168.1.12 marche. Pour une connexion externe maintenant ça marche pour le client perso ! (le port était mal redirigé sur la box) Donc ça venait bien du pare-feu de la box qui était mal configuré. Par contre, il est toujours impossible de se connecter en VPN depuis l'extérieur, c'est peut être à cause d'un mauvais paramètrage de la box: j'ai ouvert le port 1595 udp redirigé vers 192.168.1.12 mais la connexion est refusée.

Pour info, une fois le serveur lancé, un ip addr donne:

Code : Tout sélectionner

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:24:21:f3:ac:8d brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.12/24 brd 192.168.1.255 scope global eth0
    inet6 fe80::224:21ff:fef3:ac8d/64 scope link 
       valid_lft forever preferred_lft forever
11: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none 
    inet 192.168.0.1 peer 192.168.0.2/32 scope global tun0
12: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 100
    link/none 
    inet 192.168.0.6 peer 192.168.0.5/32 scope global tun1

J'ai essayé de rediriger plutôt sur 192.168.0.1 vu que c'est l'adresse de tun0 mais l'output du client vpn reste "Connection reset by peer".
Vers quelle ip dois-je rediriger 1595?
Merci d'avance.

[oktoberfest]

Sur ton pc Arch fais un

Code : Tout sélectionner

# netstat -apn | grep -i Listen | grep 1595

Cela permettra de vérifier que le port est bien ouvert en UDP et de savoir sur quelle adresse il est en écoute.

[Glaucos]

La commande ne renvoie rien : P
Mais ce qui est étonnant c'est que même le port 8000 n'est pas identifié ouvert alors que le serveur est accessible ?!

[oktoberfest]

Autant pour moi c'est de l'udp, le 'grep -i Listen' est idiot.
Donc plutôt un

Code : Tout sélectionner

# netstat --udp -apn

[Glaucos]

Ca renvoie une ligne vide aussi, même avec le serveur et le client connectés en local, et même pour le port 8000 oO

[oktoberfest]

Tu es en udp, il n'y a donc pas de connexion.
On va faire les choses proprement :
- tu lances sur ton Arch tous les process dont tu as besoin
- via un 'ps' tu notes les numéros de processus.
- tu lances le netstat indiqué avant.

Tu nous postes le résultat du netstat + les numéros des processus.

[Glaucos]

Une fois le serveur lancé, j'ai fait:

Code : Tout sélectionner

ps -A | grep openvpn
 3913 ?        00:00:00 openvpn
 3920 ?        00:00:00 openvpn

puis

Code : Tout sélectionner

nestat -udp -apn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
udp        0      0 0.0.0.0:35474           0.0.0.0:*                           3913/openvpn        
udp        0      0 0.0.0.0:1595            0.0.0.0:*                           3920/openvpn        

Ce qui a première vue à l'air bon bon? bienque je ne sais pas pourquoiun socket écoute 35474...

[oktoberfest]

En tout cas tu as bien ton process en écoute sur 1595. Donc au niveau de ton routeur tu dois rediriger le port udp 1595 vers l'ip de ta machine Arch.

[Glaucos]

J'ai redirigé les connexions udp sur le port 1595 vers 192.168.1.12 et la redirection a l'air de marcher mais il y a quand même un problème

(output du lancement du client vpn)

Code : Tout sélectionner

TCP/UDP: Incoming packet rejected from 192.168.1.12:1595[2], expected peer address: 90.16.30.165:1595 (allow this incoming source address/port by removing --remote or adding --float)

Il dit que le paquet est refusé car j'ai mis 90.16.30.165:1595 comme ip au lieu de 192.168.1.12
? (je comprends pas très bien ce message...).

PS: la connexion en utilisant 192.168.1.12 marche toujours aussi bien.

[oktoberfest]

J'imagine que 90.16.30.165 est l'adress publique de ton routeur.
C'est normal que openvpn refuse car l'adresse ip interne (192.168.1.12) ne correspond pas à l'adresse à laquelle tu t'es connecté (90.16.30.165).
D'après le man (que tout le monde peut lire..., et d'après le message) si tu ajoutes --float au lancement de ton client, il devrait accepter le paquet provenant de 192.168.1.12

[Glaucos]

En effet, c'était bien parce que le test venait d'un ordinateur local, un test de l'extérieur a marché avec la même configuration !
Merci à tous de votre aide !