Forum Linux.général ipv6 pas compatible avec iptables ou ovh?

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes : aucune
0
10
jan.
2014

Salut,

Sans firewall tout marche, hors quelque dizaine de minutes avec activé mon firewall en ipv6 j'ai en ipv6: Network is unreachable
```bash
*filter
:INPUT DROP [268:267531]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [191:13778]

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s ::1 -d ::1 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 80 -d 2001:41d0:X:XXXX::245 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -d 2001:41d0:X:XXXX::245 -j ACCEPT

-A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
-A INPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
-A INPUT -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT
-A INPUT -p icmpv6 -j ACCEPT

-A INPUT -m recent --name portscan --rcheck --seconds 300 -j DROP
-A INPUT -m recent --name portscan --remove

-A INPUT -m recent --name sshd --rcheck --seconds 30 --hitcount 3 -p tcp -m tcp --dport 9999 -j DROP
-A INPUT -m recent --name sshd --remove
-A INPUT -p tcp -m recent --name portscan --set -j DROP

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -s ::1 -d ::1 -j ACCEPT
-A OUTPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
-A OUTPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A OUTPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A OUTPUT -p icmpv6 -j ACCEPT
-A OUTPUT -m tcp -p tcp --dport 53 -j ACCEPT
-A OUTPUT -m udp -p udp --dport 53 -j ACCEPT
-A OUTPUT -m tcp -p tcp --dport 25 -j ACCEPT
-A OUTPUT -m tcp -p tcp --dport 587 -j ACCEPT
-A OUTPUT -m tcp -p tcp --dport 465 -j ACCEPT

-A FORWARD -j ACCEPT

COMMIT
```

La faute viens de moi? D'ovh? De linux? D'iptables en ipv6?

Cordialement,

  • # loguer les paquets refusés

    Posté par  (site Web personnel) . Évalué à 3.

    C'est la 1ère chose à faire.

    tcpdump/wireshark pour faire le diag si pas résolu.

    Système - Réseau - Sécurité Open Source

    • [^] # Re: loguer les paquets refusés

      Posté par  (site Web personnel) . Évalué à 1.

      Vu que j'ai 5Mo/s de trafic, ça me parait pas jouable sans savoir ce que je cherche.

      Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

      • [^] # Re: loguer les paquets refusés

        Posté par  (site Web personnel) . Évalué à 2.

        en ipv6 ?

        Système - Réseau - Sécurité Open Source

        • [^] # Re: loguer les paquets refusés

          Posté par  (site Web personnel) . Évalué à 0.

          C'est vrai que si c'est filtrable par protocole, ça tombe à 100Ko/s je pense, mais ça reste énorme.

          Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

          • [^] # Re: loguer les paquets refusés

            Posté par  . Évalué à 3.

            euh non c'est pas énorme.
            Et en plus par défaut, il ne chope que les 68 premiers octets et donc tu n'as que les metadata des paquets et pas trop les data, donc pas trop de soucis.

            Au boulot, on a fait des traces de 5Go (avec que les metadata), sur un problème un peu comme le tiens (on savait pas trop quand il arrivais).Ben tu recherches des trucs dedans sans trop de soucis.

            • [^] # Re: loguer les paquets refusés

              Posté par  . Évalué à 2.

              Ben tu recherches des trucs dedans sans trop de soucis.

              Et pour ça, Wireshark est ton ami, il te propose un paquet de filtres super sympas pour t'aider à chercher.

              • [^] # Re: loguer les paquets refusés

                Posté par  (site Web personnel) . Évalué à 1.

                Lancé en console via dumpcap -i eth0 -f 'ip6', je doit recherché quoi?

                Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

                • [^] # Re: loguer les paquets refusés

                  Posté par  (site Web personnel) . Évalué à 2.

                  Les paquets icmpv6 lors du ping6 qui foirent ( ip locale ou pas ? ).

                  Quand cela arrive le routeur/passerelle est joignable ?

                  Système - Réseau - Sécurité Open Source

                  • [^] # Re: loguer les paquets refusés

                    Posté par  (site Web personnel) . Évalué à 0.

                    Ping sur ip externe, ça foire car la route n'est plus la, ip -6 route:
                    X:X:X:a505::/64 dev eth0 proto kernel metric 256
                    X:X:X:a500::/56 dev eth0 proto kernel metric 256 expires 2509425sec
                    fe80::/64 dev eth0 proto kernel metric 256
                    ff00::/8 dev eth0 metric 256

                    Quand ça marche:
                    2001:41d0:2:a505::/64 dev eth0 proto kernel metric 256
                    2001:41d0:2:a500::/56 dev eth0 proto kernel metric 256 expires 2591996sec
                    fe80::/64 dev eth0 proto kernel metric 256
                    ff00::/8 dev eth0 metric 256
                    default via fe80::ee30:91ff:fee0:dfc0 dev eth0 proto ra metric 1024 expires 1796sec
                    default via fe80::12bd:18ff:fee4:5040 dev eth0 proto ra metric 1024 expires 1796sec

                    Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

                    • [^] # Re: loguer les paquets refusés

                      Posté par  . Évalué à 3.

                      OK, on voit en gros que les RA sont valables 1/2h, c'est à peu près le temps au bout duquel tu vois que ça déconne ? Si c'est ça, c'est que soit les routeurs n'envoient pas assez souvent de RA, soit tu les bloques d'une manière ou d'une autre.

                      Par contre, je vois un autre problème : ta conf. C'est quoi ce /56 sur eth0 ? C'est pas bon, on met toujours un /64 sur un segment Ethernet. Je suppose que c'est que le …a505::/64 qui est le « bon » ? Indique nous ta configuration qu'on en sache plus.

                      Ah, du coup je comprends, je pense : ça « déconne » 1/2h après que tu actives le forwarding ? C'est normal, car un routeur (qui n'est pas un nœud comme les autres) n'accepte par les RA par défaut. Il faut soit que tu les spécifies manuellement (la méthode traditionnelle ; tu peux demander à celui qui gère les routeurs de « sortie » s'il les configure avec des adresses link-local spécifiques que tu pourrais ajouter manuellement, genre fe80::1), soit que tu dises au kernel d'accepter les RA avec le sysctl net.ipv6.conf.all.accept_ra = 2. Attention, ainsi, il se configurera automatiquement avec une adresse genre SLAAC sur eth0. Si tu n'en veux pas, mets le net.ipv6.conf.all.autoconf = 0.

                      • [^] # Re: loguer les paquets refusés

                        Posté par  (site Web personnel) . Évalué à 1.

                        Oui, j'ai regarder avec un watch, c'est exactement à la fin de ce compte à rebourd que ça déconne.
                        Je peu le mettre en fix? Apparement j'ai trouver comme le mettre en fix sous gentoo la passerelle ipv4 et ipv6.

                        le /56, je sais pas d'ou ça viens, c'est pas dans ma config, j'y est mit que: X:X:X:X:1/64 jusqu'as X:X:X:X:5000/64 donc oui c'est …a505::/64 la plage qui est bonne. Ovh m'as indiquer ces réglages, peu étre qu'il faut que je mette juste X:X:X:X:1/64 dans mon interface…

                        Normalement j'ai pas à faire de forwarding… j'ai activé au cas ou, mais ça change rien.

                        Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

                        • [^] # Re: loguer les paquets refusés

                          Posté par  . Évalué à 2.

                          Je peu le mettre en fix? Apparement j'ai trouver comme le mettre en fix sous gentoo la passerelle ipv4 et ipv6.

                          Normalement une bonne distro te le permet. Sous debian c'est l'attribut "gateway" dans /etc/network/interfaces. Je connais mal Gentoo.

                          le /56, je sais pas d'ou ça viens, c'est pas dans ma config, j'y est mit que: X:X:X:X:1/64 jusqu'as X:X:X:X:5000/64

                          Houla, pourquoi tu veux mettre toutes ces IP sur ta config ?

                          donc oui c'est …a505::/64 la plage qui est bonne.

                          OK. Si ce /56 apparaît, c'est que tu ne dois pas complètement maîtriser ta config… c'est pas super bon signe pour arriver à correctement gérer ce problème. Elle est indiquée en "proto kernel" ce qui indiquerait (je crois) qu'elle est configurée manuellement, et pas à travers un RA. Si tu veux vérifier que ça ne vient pas par un RA, tu peux soit sniffer les RA, soit l'effacer (ip -6 route del …) et voir si elle revient (quand tu acceptes les RA, i.e. pas quand le forwarding est activé, à moins que tu aies appliqué le workaround que j'ai décrit).

                          Ovh m'as indiquer ces réglages,

                          Lesquels exactement ? J'avoue qu'avec l'orthographe assez limite en plus, j'ai du mal à te comprendre précisément.

                          peu étre qu'il faut que je mette juste X:X:X:X:1/64 dans mon interface…

                          Moi c'est ce que je te conseillerais, si tu n'utilises que ce /64.

                          • [^] # Re: loguer les paquets refusés

                            Posté par  (site Web personnel) . Évalué à 0.

                            Gentoo le permet, par contre si JE me plante, mon dédié sera inaccessible. Je devrai passer en rescue, réparer, rebooter, gros risque.
                            J'ai besoin d'au moins une ip par machine virtuelle, et donc vu que c'est environs 3000 sites d'hébergés, plus de 30 machines virtuelles…
                            je confirme, je ne suis pas encore maitre de l'ipv6…
                            Cette route reviens aprés le /etc/init.d/net.eth0 restart
                            http://guide.ovh.com/AjouterAliasIp
                            ipv6 sous la forme XXXXX/64 dans la config.
                            Désolé, ma co merde (adsl), et donc réécrire 3x la même chose, au final je fait plus gaffe à l'orthographe.

                            Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

                            • [^] # Re: loguer les paquets refusés

                              Posté par  . Évalué à 3.

                              Gentoo le permet, par contre si JE me plante, mon dédié sera inaccessible. Je devrai passer en rescue, réparer, rebooter, gros risque.

                              T'as toujours l'IPv4, hein. Et je ne connais pas les dédiés, mais c'est si difficile que ça d'avoir une console série sur ta machine ?!

                              J'ai besoin d'au moins une ip par machine virtuelle, et donc vu que c'est environs 3000 sites d'hébergés, plus de 30 machines virtuelles…

                              Cf ce que j'ai dit plus bas, ça m'étonnerait que tu veuilles réellement mettre ces IP sur ton « hyperviseur »…

                              je confirme, je ne suis pas encore maitre de l'ipv6…

                              Pas de problème ; je te conseille d'aller lire http://livre.g6.asso.fr/ si tu veux te former un peu.

                              Cette route reviens aprés le /etc/init.d/net.eth0 restart

                              Bah… à toi de comprendre pourquoi. Mais du coup, je me dis, que tu te lances dans IPv6 que tu connais mal avec une distro que tu maîtrises mal… tout ça sur une machine ou tu ne peux pas te permettre d'essayer des trucs à peine risqués… ça ne me paraît pas super génial.

                              ipv6 sous la forme XXXXX/64 dans la config.

                              Bah, du coup je comprends pas, et je ne peux pas t'aider là-dessus.

                              Désolé, ma co merde (adsl), et donc réécrire 3x la même chose, au final je fait plus gaffe à l'orthographe.

                              Gni ? Tu ne peux pas copier ton message quelque part (ou l'écrire autre part) avant de poster ?…

                              • [^] # Re: loguer les paquets refusés

                                Posté par  (site Web personnel) . Évalué à 1.

                                Non, tout le service ce coupe si c'est une erreur de syntaxe, du moins avec les vieux script gentoo, avec un OpenRC à jour je sais pas.
                                Si si, c'est juste avec l'ipv6 que j'ai un problème, pas l'ipv4.
                                L'ipv6 je connais mal, du moins ce problème que je maîtrise pas suffisamment. Par contre je maitrise bien la distro, plus de 10ans avec…
                                Ce qui marche pour avoir des routes fixes avec gentoo:
                                routes_eth0="default gw aa.bb.cc.de
                                default via fe80::222:56ff:feba:bfbf dev eth0"
                                Je rajoute les 2 avec la bonne syntaxe?:
                                default via fe80::ee30:91ff:fee0:dfc0 dev eth0 proto ra metric 1024 expires 1796sec
                                default via fe80::12bd:18ff:fee4:5040 dev eth0 proto ra metric 1024 expires 1796sec
                                ?
                                Si je rajoute la 1ere, j'ai:
                                default via fe80::ee30:91ff:fee0:dfc0 dev eth0 metric 2
                                default via fe80::ee30:91ff:fee0:dfc0 dev eth0 proto ra metric 1024 expires 1782sec
                                default via fe80::12bd:18ff:fee4:5040 dev eth0 proto ra metric 1024 expires 1782sec
                                Donc sans RA…

                                Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

                                • [^] # Re: loguer les paquets refusés

                                  Posté par  . Évalué à 3.

                                  Si si, c'est juste avec l'ipv6 que j'ai un problème, pas l'ipv4.

                                  Gni ? J'ai jamais dit ça… Franchement, entre ne pas citer ce à quoi tu réponds, et ta syntaxe/grammaire déplorable, j'ai vraiment beaucoup de mal à te comprendre et ça me fatigue.

                                  Si je rajoute la 1ere, j'ai:
                                  default via fe80::ee30:91ff:fee0:dfc0 dev eth0 metric 2
                                  default via fe80::ee30:91ff:fee0:dfc0 dev eth0 proto ra metric 1024 expires 1782sec
                                  default via fe80::12bd:18ff:fee4:5040 dev eth0 proto ra metric 1024 expires 1782sec
                                  Donc sans RA…

                                  C'est une question ? Une affirmation ? C'est le résultat de ip -6 route, je suppose, mais je ne sais pas ce qu'est la partie que tu cites dessus. En gros, là, tu vois qu'il y a eu une route à priori rajoutée à la main, et deux autres par RA. Je ne comprends pas ce qui ne va pas, et ce que tu veux, bref, exprimes-toi clairement sinon moi j'arrête.

  • # Iptables

    Posté par  . Évalué à 6. Dernière modification le 11/01/14 à 01:01.

    IPv4 => iptables
    IPv6 => ip6tables

    (la faute vient de toi apparemment)

    Autorise le trafic sortant par défaut
    Autorise lo à sortir (ACCEPT sur l'output)

    • [^] # Re: Iptables

      Posté par  . Évalué à 2.

      #!/usr/bin/env sh
      FW=ip6tables
      
      # Flushing all rules
      $FW --flush
      
      $FW -A INPUT -i lo -j ACCEPT
      $FW -A INPUT ! -i lo -d ::1 -j REJECT
      
      $FW -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
      
      $FW -A OUTPUT -j ACCEPT
      
      $FW -A INPUT -p tcp --dport 80 -j ACCEPT
      $FW -A INPUT -p tcp --dport 443 -j ACCEPT
      $FW -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
      
      $FW -A INPUT -p icmpv6 -j ACCEPT
      $FW -A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
      
      $FW -A INPUT -j REJECT
      $FW -A FORWARD -j REJECT
      
      • [^] # Re: Iptables

        Posté par  . Évalué à 1.

        Ajoute: -A OUTPUT -j ACCEPT dans ta config.

        Tu n'autorises que
        53
        25
        587
        465

        • [^] # Re: Iptables

          Posté par  (site Web personnel) . Évalué à 1.

          Oui, je fait bien la diff iptables et ip6tables, si non je pourrai pas appliquer les régles.
          Je doit hélas recompiler mon noayu perso pour activé les LOGS iptables…

          Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

          • [^] # Re: Iptables

            Posté par  (site Web personnel) . Évalué à 1.

            Meme en metant devant toutes les régles: -j ACCEPT partout ça reste buggé… et aussi dans les entétes.

            Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

  • # a verifier car je pratique pas encore ipv6

    Posté par  . Évalué à -1. Dernière modification le 11/01/14 à 02:11.

    dans tes regles on trouve du icmp v6
    par exemple dans

    -A OUTPUT -p icmpv6 -j ACCEPT

    mais pour le TCP, c'est -p tcp
    ca ne devrait pas etre tcpv6 ?

    sinon comme dit plus haut, attention, pour un parefeu ipv6, c'est ip6tables et pas iptables qu'il faut utiliser.

    • [^] # Re: a verifier car je pratique pas encore ipv6

      Posté par  (site Web personnel) . Évalué à 3.

      PARAMETERS
         The following parameters make up a rule specification (as used  in  the
         add, delete, insert, replace and append commands).
      
         [!] -p, --protocol protocol
                The  protocol of the rule or of the packet to check.  The speci-
                fied protocol can be one of tcp, udp, udplite, icmpv6,  esp,  mh
                or  all, or it can be a numeric value, representing one of these
                protocols or a different one. A protocol name  from  /etc/proto-
                cols is also allowed.  But IPv6 extension headers except esp are
                not allowed.  esp and ipv6-nonext can be used with  Kernel  ver-
                sion  2.6.11  or  later.   A  "!"  argument  before the protocol
                inverts the test.  The number zero is equivalent to all.  Proto-
                col  all  will  match with all protocols and is taken as default
                when this option is omitted.
      

      Système - Réseau - Sécurité Open Source

      • [^] # Re: a verifier car je pratique pas encore ipv6

        Posté par  . Évalué à 1.

        merci, faut vraiment que je lise les docs ipv6 et que je pratique un peu.

        • [^] # Re: a verifier car je pratique pas encore ipv6

          Posté par  (site Web personnel) . Évalué à 1.

          Meme en metant devant toutes les régles: -j ACCEPT partout ça reste buggé… et aussi dans les entétes.

          Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

          • [^] # Re: a verifier car je pratique pas encore ipv6

            Posté par  (site Web personnel) . Évalué à 2.

            que retourne ip6tables -L -nv ?

            Système - Réseau - Sécurité Open Source

            • [^] # Re: a verifier car je pratique pas encore ipv6

              Posté par  (site Web personnel) . Évalué à 1.

              Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
              pkts bytes target prot opt in out source destination

              7196 1618K ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
              23 1840 ACCEPT all lo * ::/0 ::/0

              3107 225K ACCEPT all * * ::/0 ::/0

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::245 tcp dpt:80
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::245 tcp dpt:443

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::811 tcp dpt:80
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::811 tcp dpt:443

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::809 tcp dpt:80

              0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135

              0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136

              0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 134

              0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 133

              0 0 ACCEPT icmpv6 * * ::/0 ::/0

              0 0 DROP all * * ::/0 ::/0 recent: CHECK seconds: 300 name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 all * * ::/0 ::/0 recent: REMOVE name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 30 hit_count: 3 name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:XXXX

              0 0 all * * ::/0 ::/0 recent: REMOVE name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 2 hit_count: 10 name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:XXXXX

              0 0 all * * ::/0 ::/0 recent: REMOVE name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 10 hit_count: 10 name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:xxxx

              0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 10 hit_count: 10 name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpts:xxxx:xxxx

              0 0 all * * ::/0 ::/0 recent: REMOVE name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::203 tcp dpt:xxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::252 tcp dpt:xxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::252 tcp dpts:xxxx:xxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::132 tcp dpt:xxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::185 tcp dpt:xxx recent: SET name: pop3 side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::722 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::722 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::800 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::800 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::802 tcp dpt:xxxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::802 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::804 tcp dpt:xxxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::804 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::806 tcp dpt:xxxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::806 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::808 tcp dpt:xxxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::808 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::810 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::810 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::810 tcp dpt:xxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 ACCEPT tcp * * ::/0 2001:X:X:X::810 tcp dpts:xxx:xx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
              0 0 DROP tcp * * ::/0 ::/0 recent: SET name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

              Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
              pkts bytes target prot opt in out source destination

              0 0 ACCEPT all * * ::/0 ::/0

              Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
              pkts bytes target prot opt in out source destination

              7052 1355K ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
              0 0 ACCEPT all * * ::/0 ::1

              0 0 ACCEPT all * * ::1 ::/0

              187 26208 ACCEPT all * * ::/0 ::/0

              0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136
              0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135
              0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128
              0 0 ACCEPT icmpv6 * * ::/0 ::/0

              0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:53
              0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:53
              0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:25
              0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:587
              0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:465
              0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:80
              0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:443

              Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

              • [^] # Re: a verifier car je pratique pas encore ipv6

                Posté par  (site Web personnel) . Évalué à 2.

                pas de traffic probant ( voir les stats )

                ipv6 fixe ?

                ip -6 neigh show
                

                puis

                Un ping6 fonctionne sur les voisins ? routeur, machines du mếme sous réseau

                puis réinterer la commande :
                ip -6 neigh show

                Système - Réseau - Sécurité Open Source

                • [^] # Re: a verifier car je pratique pas encore ipv6

                  Posté par  (site Web personnel) . Évalué à 1.

                  Quand ça marche pas (coupé):
                  ip -6 neigh show
                  fe80::ee30:91ff:fee0:dfc0 dev eth0 lladdr ec:30:91:e0:df:c0 router STALE
                  fe80::12bd:18ff:fee4:5040 dev eth0 lladdr 10:bd:18:e4:50:40 router REACHABLE
                  Quand ça marche (wget -6 www.ipv6tf.org -O /dev/null -v et ping6 qui marche):
                  ip -6 neigh show
                  fe80::ee30:91ff:fee0:dfc0 dev eth0 lladdr ec:30:91:e0:df:c0 router STALE
                  fe80::12bd:18ff:fee4:5040 dev eth0 lladdr 10:bd:18:e4:50:40 router REACHABLE
                  Le trafic tcp et icmp (ping6) sont coupé en meme temps.

                  Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

  • # Les bases

    Posté par  . Évalué à 3.

    La base pour diagnostiquer, c'est de nous donner l'état de la table de routage et des adresses :

    ip -6 addr
    ip -6 route
    

    Et n'as-tu pas plus précis que « quelques dizaines de minutes » ?

    As-tu activé des options spéciales ? Pourrais-tu nous donner le résultat de la commande suivante pour voir :

    sysctl net.ipv6
    
    • [^] # Re: Les bases

      Posté par  . Évalué à 0.

      Correctif sur les commandes de benoar :

      ip -f inet6 addr
      ip -f inet6 route
      

      Sinon, il faudrait les commandes quand ça marche et quand ça marche pas.
      2ème point : dans le thread précédent, tu indique que même quand tu mets toutes les règles à ACCEPT, ça ne marche pas mais que quand tu n'active pas le firewall, ça marche => ce n'est pas logique, par défaut, les règles IPTABLES sont là mais toutes à ACCEPT.

      pourras-tu également nous donner le résultat de la commande suivantes :

       ip6tables -L -v -n
      
      • [^] # Re: Les bases

        Posté par  . Évalué à 2.

        Correctif sur les commandes de benoar :

        Heu… ça marche très bien juste avec "-6", hein, depuis un bout de temps. Si j'avais à me taper la commande complète à chaque fois, ça me soulerait… (d'habitude, quand je tape, ça ressemble plus à "ip -6 a a 192.168.8.1/24 dev eth0" ou des trucs du genre — même sans le "-6" dans ce cas particulier où ip reconnaît que c'est une IPv6).

        • [^] # Re: Les bases

          Posté par  (site Web personnel) . Évalué à 1.

          Quand ça marche pas:
          ip -f inet6 addr
          1: lo: mtu 65536
          inet6 ::1/128 scope host
          valid_lft forever preferred_lft forever
          2: eth0: mtu 1500 qlen 1000
          inet6 W:W:W:W::815/64 scope global
          valid_lft forever preferred_lft forever
          inet6 W:W:W:W::814/64 scope global
          valid_lft forever preferred_lft forever
          inet6 W:W:W:W::813/64 scope global
          valid_lft forever preferred_lft forever
          inet6 W:W:W:W::203/64 scope global
          valid_lft forever preferred_lft forever
          inet6 W:W:W:W::132/64 scope global
          valid_lft forever preferred_lft forever
          inet6 W:W:W:W::233/64 scope global
          valid_lft forever preferred_lft forever
          inet6 W:W:W:W::185/64 scope global
          valid_lft forever preferred_lft forever
          inet6 W:W:W:W::1/64 scope global
          valid_lft forever preferred_lft forever
          inet6 fe80::3a60:77ff:fe3e:8b5c/64 scope link
          valid_lft forever preferred_lft forever

          X:X:X:a505::/64 dev eth0 proto kernel metric 256
          X:X:X:a500::/56 dev eth0 proto kernel metric 256 expires 2509425sec
          fe80::/64 dev eth0 proto kernel metric 256
          ff00::/8 dev eth0 metric 256

          Quand ça marche:
          2001:41d0:2:a505::/64 dev eth0 proto kernel metric 256
          2001:41d0:2:a500::/56 dev eth0 proto kernel metric 256 expires 2591996sec
          fe80::/64 dev eth0 proto kernel metric 256
          ff00::/8 dev eth0 metric 256
          default via fe80::ee30:91ff:fee0:dfc0 dev eth0 proto ra metric 1024 expires 1796sec
          default via fe80::12bd:18ff:fee4:5040 dev eth0 proto ra metric 1024 expires 1796sec
          ip -f inet6 addr-> meme chose

          Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

          • [^] # Re: Les bases

            Posté par  (site Web personnel) . Évalué à 1.

            Firewall désactivé:
            ip6tables -L -v -n
            Chain INPUT (policy ACCEPT 842 packets, 286K bytes)
            pkts bytes target prot opt in out source destination

            Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
            pkts bytes target prot opt in out source destination

            Chain OUTPUT (policy ACCEPT 568 packets, 157K bytes)
            pkts bytes target prot opt in out source destination

            Firewall actif:
            ip6tables -L -v -n
            Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
            pkts bytes target prot opt in out source destination

            45 2945 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
            0 0 ACCEPT all lo * ::/0 ::/0

            15 1028 ACCEPT all * * ::/0 ::/0

            0 0 ACCEPT tcp * * ::/0 x:x:x:x::245 tcp dpt:80
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::245 tcp dpt:443
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::233 tcp dpt:80
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::233 tcp dpt:443
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::206 tcp dpt:80
            0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135
            0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136
            0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 134
            0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 133
            0 0 ACCEPT icmpv6 * * ::/0 ::/0

            0 0 DROP all * * ::/0 ::/0 recent: CHECK seconds: 300 name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 all * * ::/0 ::/0 recent: REMOVE name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 30 hit_count: 3 name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:XXXXX
            0 0 all * * ::/0 ::/0 recent: REMOVE name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 2 hit_count: 10 name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:XXXXXX
            0 0 all * * ::/0 ::/0 recent: REMOVE name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 10 hit_count: 10 name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:xxxx
            0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 10 hit_count: 10 name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpts:xxxxx:xxxxx
            0 0 all * * ::/0 ::/0 recent: REMOVE name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::203 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::252 tcp dpt:xxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::252 tcp dpts:xxxxx:xxxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::132 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::722 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::722 tcp dpt:XXXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::802 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::802 tcp dpt:XXXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::809 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::809 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::808 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::808 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::810 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::811 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::812 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::813 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::814 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::815 tcp dpt:XXXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::816 tcp dpt:xxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 ACCEPT tcp * * ::/0 x:x:x:x::817 tcp dpts:xxxxx:xxxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
            0 0 DROP tcp * * ::/0 ::/0 recent: SET name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

            Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
            pkts bytes target prot opt in out source destination

            0 0 ACCEPT all * * ::/0 ::/0

            Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
            pkts bytes target prot opt in out source destination

            43 2805 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
            0 0 ACCEPT all * * ::/0 ::1

            0 0 ACCEPT all * * ::1 ::/0

            3 180 ACCEPT all * * ::/0 ::/0

            0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136
            0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135
            0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128
            0 0 ACCEPT icmpv6 * * ::/0 ::/0

            0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:53
            0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:53
            0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:25
            0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:587
            0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:465
            0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:80
            0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:443

            Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

          • [^] # Re: Les bases

            Posté par  . Évalué à 2.

            C'est bizarre toutes ces adresses sur eth0, qui ont en plus à priori été configurées à la main (valid_lft forever…). C'est toi qui fait ça ?

            • [^] # Re: Les bases

              Posté par  (site Web personnel) . Évalué à 0.

              Oui, c'est la même chose que ipv4 (ip failover d'ovh) mais en ipv6, c'est pour avoir tel et tel ip sur mes vm en vserver. Ai-je fait une erreur? La configuration manuel est recommande, surtout pour évité les faille dhcp et les coupure lors du renouvellement d'ip qui est fixe…

              Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

              • [^] # Re: Les bases

                Posté par  . Évalué à 2.

                Oui, c'est la même chose que ipv4 (ip failover d'ovh) mais en ipv6,

                OK.

                c'est pour avoir tel et tel ip sur mes vm en vserver.

                Ah non, je ne comprends pas en fait. C'est du failover pour ta machine ou pour tes VMs ? Si c'est pour tes VMs, pourquoi les attribues-tu à l'interface de ton « hyperviseur » (en quelques sortes) ?

                Pourrais-tu décrire plus précisément ton setup ? Parce que tu n'as toujours pas dit clairement ce que tu voulais obtenir, et comment tu avais fait jusqu'à maintenant. Tu veux « connecter » tes VMs au net ? Tu veux les bridger ou les router ?

                La configuration manuel est recommande, surtout pour évité les faille dhcp et les coupure lors du renouvellement d'ip qui est fixe…

                Les « failles » DHCP ? Mouai, moyen détourné de dire « on sait pas gérer un DHCP » (de la part d'OVH)… Et les coupures lors du « renouvellement » d'IP, tu parles encore du DHCP ? Ou d'autre chose ?! Je ne comprends pas trop sinon : une IP fixe mais « renouvelée » ?…

                • [^] # Re: Les bases

                  Posté par  (site Web personnel) . Évalué à 1.

                  J'alloue mes ips à mon hyperviseur car c'est de la para-virtualisation (vserver), en gros mes processus sont juste chrooter mais exécuter sur le noyau de la machine dédié. (LXC ou les chroots BSD sont assez similaire). J'aurai pas du parler des machines virtuelle pour pas embrouiller, dsl.
                  J'ai une (ou plusieurs) ip par vm. Et donc si sur l'hote ça marche, je me charge des filles qui sont la même chose.
                  Oublie cette partie, on vas s'enbrouiller, en gros en dhcp, et avec ovh, l'ip est coupé temporairement puis redéfinit de nouveau, mais c'est toujours la meme ip. C'est peu étre moi qui ne sais pas géré le DHCP, mais bon, ip fixe ça me vas bien.

                  Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

                  • [^] # Re: Les bases

                    Posté par  . Évalué à 3. Dernière modification le 15/01/14 à 23:22.

                    J'alloue mes ips à mon hyperviseur car c'est de la para-virtualisation (vserver), en gros mes processus sont juste chrooter mais exécuter sur le noyau de la machine dédié. (LXC ou les chroots BSD sont assez similaire).

                    oui mais non
                    avec LXC ou openVZ la config reseau se fait sur une interface virtuelle par dessus eth0, dans mon cas br0 qui est l'interface bridge
                    et des cartes virbrXY pour chaque conteneur

                    il ne faut donc pas mettre les IP Failover sur la carte eth0 de ton serveur physique

                    • [^] # Re: Les bases

                      Posté par  (site Web personnel) . Évalué à 1.

                      Assez similaire comme principe de virtualisation… comment tu viens de le confirmer, manière différente de config le réseau.

                      Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

                      • [^] # Re: Les bases

                        Posté par  . Évalué à 2.

                        sauf que toi tu veux mettre tes IPs fail over sur la carte physique du serveur
                        et faire une cuisine derriere pour les envoyer à la bonne machine virtuelle.

                        alors qu'il faudrait faire l'inverse,
                        - bridger tes VMs sur la carte physique
                        - assigner les IPv4 et IPv6 sur les cartes virtuelles (dans les VMs donc)

                        • [^] # Re: Les bases

                          Posté par  (site Web personnel) . Évalué à 0.

                          Non, ce que je fait c'est la procédures standard de vserver, ce qui permet de couper la couche bridge et gagné en latence. Car si j'ai bien compris, tu me demande de faire br0 avec: eth0, tap0, tapX…, ce que je fait en virtualisation (qemu).
                          Mais bon, comme je disait, j'aurai pas du parler des vm.
                          Tant que ça marche sur l’hôte ça me vas. En passant, l'ajout des routes en statique marche, celle du protocole RA merde dés que le firewall est actif, même si j'ai mit ACCEPT partout.

                          Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.