Forum Linux.debian/ubuntu Souci pour ouvrir un port tcp sous squeeze

Posté par  .
Étiquettes :
0
28
fév.
2010
bonjour

je cherche a ouvrir un port tcp sous debian squeeze, je me permet de poster car c'est tellement simple d'habitude que là je n'ai plus idée, pourquoi cela ne marche pas.

ma configuration :

Linux veranda 2.6.32-trunk-686 a jour

ifconfig :
lo et
wlan0 Link encap:Ethernet HWaddr X
inet adr:192.168.0.12 Bcast:192.168.0.255 Masque:255.255.255.0

la connection a internet est fonctionnelle, etrangement le port 22 est ouvert pour permetre les connection ssh. Je teste l'ouverture de port avec 192.168.0.11 et nmap en root.

D'habitude j'utilise shorewall que je maitrise pas trop mal, en mettant tout dans policy a ACCEPT pour tester.Mais juste le port 22 reste ouvert. Je me suis penché aussi sur firestarter, effectivement les port sont fermé par defaut en entré, lorque je les autorise avec firestarter il ne sont plus loggué comme bloqué mais de l'exterieur le port apparait fermé.

actuellement j'ai essayé :

iptables -F
iptables -X
pour remettre a plat les regles
puis

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -A INPUT -i wlan0 -j ACCEPT
iptables -A OUTPUT -o wlan0 -j ACCEPT


mes port ormis le port 22 sont fermés, c'est la que quelque choses m'echappe !

pour le moment tous ouvrir a tous vents devrait me permetre de voir d'ou vient le probleme, mais meme cela je n'y arrive pas

la seule hypotese est que mon application ktorrent n'ouvre pas le port mais j'en doute

  • # wifi cloisonné

    Posté par  . Évalué à 4.

    les machines 192.168.0.11 et 192.168.0.12 ne sont-elles pas toutes les deux en wifi (wlan) ?

    je sais que certains routeurs ont une option pour "cloisonner" les clients wifi à base de vlan.

    ainsi le client wifi peut aller sur le WAN (internet) et le LAN
    mais ne peut pas faire ce qu'il veut sur les autres machines en Wifi (ca evite à deux "clients" d'un hotel de se voir l'un l'autre par exemple)

    • [^] # Re: wifi cloisonné

      Posté par  . Évalué à 1.

      non, un machine exterieur ici le tracker m'informe aussi que mon port est bloqué. Cela ma donné une idée :

      veranda:/etc/shorewall# telnet 192.168.0.12 22
      Trying 192.168.0.12...
      Connected to 192.168.0.12.
      Escape character is '^]'.
      SSH-2.0-OpenSSH_5.3p1 Debian-1

      Protocol mismatch.
      Connection closed by foreign host.
      veranda:/etc/shorewall# telnet 192.168.0.12 6881
      Trying 192.168.0.12...
      telnet: Unable to connect to remote host: Connection refused

      meme en local je n'arrive pas a acceder a mes port sauf a ssh. c'est vraiment etonnant :O.

      du coup j'ai essayé les port a l'coute de mes programme
      tcp6 0 0 :::22 :::* LISTEN 1752/sshd
      tcp6 0 0 ::1:631 :::* LISTEN 1845/cupsd
      tcp6 0 0 ::1:25 :::* LISTEN 1728/exim4
      tcp6 0 0 :::6881 :::* LISTEN 2223/ktorrent

      a par le port 22 rien. Malgré des regle iptable a faire rougir un windowsien

      • [^] # Re: wifi cloisonné

        Posté par  . Évalué à 2.

        il y a bien longtemps que les logiciels d'echanges peer 2 peer n'utilises plus des ports figés comme 6881->6889

        regarde dans ton logiciel (transmission par exemple)
        tu verras qu'il utilise un autre port

      • [^] # Re: wifi cloisonné

        Posté par  . Évalué à 5.

        tcp6 0 0 :::22 :::* LISTEN 1752/sshd
        tcp6 0 0 ::1:631 :::* LISTEN 1845/cupsd
        tcp6 0 0 ::1:25 :::* LISTEN 1728/exim4
        tcp6 0 0 :::6881 :::* LISTEN 2223/ktorrent

        tes ports sont ouverts sur IPv6
        il devrait aussi l'etre sur IPv4 pour que ca fonctionne avec une IP comme 192.168.1.12

  • # tu testes bien le port ?

    Posté par  (site web personnel) . Évalué à 2.

    Par défaut, nmap ne scanne pas tous les ports. Es-tu sûr qu'il vérifie le port que tu souhaites tester ?

    nmap -p ton_port 192.168.0.12

    • [^] # Re: tu testes bien le port ?

      Posté par  . Évalué à 2.

      nmap scanne les ports les plus courants, sauf à lui demander de tous les parcourir avec "-p 1-65535", mais parmi les "ports les plus courants" il compte bien évidemment SSH.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

      • [^] # Re: tu testes bien le port ?

        Posté par  . Évalué à 1.

        oui je teste uniquement le port qui est concerné, de plus le tracker utilisé m'informe que mon port est bloqué

  • # Lever le doute

    Posté par  . Évalué à 3.

    a seule hypotese est que mon application ktorrent n'ouvre pas le port mais j'en doute
    Il faudrait tout de même t'en assurer :-)
    --> netstat -anlptu

    • [^] # Re: Lever le doute

      Posté par  . Évalué à 1.

      pas mal la commande, le doute est levé :

      tcp6 0 0 :::6881 :::* LISTEN 2223/ktorrent

      ktorrent arrive a ouvrir le port :)

      • [^] # Re: Lever le doute

        Posté par  . Évalué à 1.

        iptable -L

        ACCEPT tcp -- anywhere anywhere tcp dpts:6881:6889
        ACCEPT udp -- anywhere anywhere udp dpts:6881:6889

        m'indique que j'ai bien mes port d'ouvert. Quelques choses m'echappe comme si il y avait un truc de securité qui empeche iptable de fonctionner convenablement

        • [^] # Re: Lever le doute

          Posté par  . Évalué à 3.

          Sauf que iptables est pour IPv4, alors que ton logiciel écoute uniquement en IPv6 (ou alors tu n'as pas tout recopié la sortie de netstat).

          Pour en savoir plus:
          --> iptables-save
          --> ip6tables-save

          • [^] # Re: Lever le doute

            Posté par  . Évalué à 1.

            effectivement il n'ecoute pas en tcp, j'ai des connections mais pas de LISTEN

            tcp 0 34 192.168.0.12:54196 x ESTABLISHED 2348/ktorrent
            tcp 0 1 192.168.0.12:57956 x SYN_SENT 2348/ktorrent

            on s'approche de la solution je pense.

            • [^] # Merci !

              Posté par  . Évalué à 1.

              bon d'autre personne ont ce probleme qui est confirmé par :

              veranda:/home/you# nc6 -6 -v localhost 6881
              nc6: localhost (::1) 6881 [6881] open
              nc6: using stream socket
              ^C
              veranda:/home/you# nc6 -4 -v localhost 6881
              nc6: cannot connect to localhost (127.0.0.1) 6881 [6881]: Connexion refusée
              nc6: cannot connect to localhost (127.0.0.1) 6881 [6881]: Connexion refusée
              nc6: unable to connect to address localhost, service 6881


              j'ai blacklisté le module ip6 pour eviter une detection par ktorrent, sans succées. Je vais prendre la version officiel de ktorrent plus recente pour le compiler a la main. Merci pour ton aide ta remarque sur ip6 ma eviter de tourner en rond pendant de long jour/mois /années

              je commencai a douter de iptable :p mais je n'ai jamais redemarrer l'ordinateur pour autant :)

              j'ai la version 3.3.3 de ktorrent pour information

  • # Essaye arno-iptables-firewall

    Posté par  (site web personnel) . Évalué à 2.

    Bonjour,

    arno-iptables-firewall est un paquet intéressant, et très pratique.
    Tu l'installes, tu réponds aux question, et c'est fait.

    Bien sur, pense à virer les autres trucs qui touchent à iptables.

    arno-iptables-firewall te permettra aussi de gérer les redirection IP/NAT.

    je le trouve très pratique pour beaucoup de choses.

    A bientôt
    Grégoire

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

  • # LA SOLUTION

    Posté par  . Évalué à 1.

    le probleme vient de la configuration par defaut de debian et du noyau linux

    http://ktorrent.org/forum/viewtopic.php?f=1&t=3436&h(...)



    /sbin/sysctl -w net.ipv6.bindv6only=0

    et pour l'avoir en permanence modifier le fichier /etc/sysctl.d/bindv6only.conf

    maintenant chez moicamarche

    pour l'explication eclairé il faut lire les commentaires de bindv6only.conf, pas trés userfriendly :)


    merci a tous pour la piste ipv6

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.