Salut,
Sans firewall tout marche, hors quelque dizaine de minutes avec activé mon firewall en ipv6 j'ai en ipv6: Network is unreachable
```bash
*filter
:INPUT DROP [268:267531]
:FORWARD ACCEPT [0:0]
:OUTPUT DROP [191:13778]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s ::1 -d ::1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -d 2001:41d0:X:XXXX::245 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -d 2001:41d0:X:XXXX::245 -j ACCEPT
-A INPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A INPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
-A INPUT -p icmpv6 --icmpv6-type router-advertisement -j ACCEPT
-A INPUT -p icmpv6 --icmpv6-type router-solicitation -j ACCEPT
-A INPUT -p icmpv6 -j ACCEPT
-A INPUT -m recent --name portscan --rcheck --seconds 300 -j DROP
-A INPUT -m recent --name portscan --remove
-A INPUT -m recent --name sshd --rcheck --seconds 30 --hitcount 3 -p tcp -m tcp --dport 9999 -j DROP
-A INPUT -m recent --name sshd --remove
-A INPUT -p tcp -m recent --name portscan --set -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -s ::1 -d ::1 -j ACCEPT
-A OUTPUT -p icmpv6 --icmpv6-type neighbour-advertisement -j ACCEPT
-A OUTPUT -p icmpv6 --icmpv6-type neighbour-solicitation -j ACCEPT
-A OUTPUT -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A OUTPUT -p icmpv6 -j ACCEPT
-A OUTPUT -m tcp -p tcp --dport 53 -j ACCEPT
-A OUTPUT -m udp -p udp --dport 53 -j ACCEPT
-A OUTPUT -m tcp -p tcp --dport 25 -j ACCEPT
-A OUTPUT -m tcp -p tcp --dport 587 -j ACCEPT
-A OUTPUT -m tcp -p tcp --dport 465 -j ACCEPT
-A FORWARD -j ACCEPT
COMMIT
```
La faute viens de moi? D'ovh? De linux? D'iptables en ipv6?
Cordialement,
# loguer les paquets refusés
Posté par nono14 (site web personnel) . Évalué à 3.
C'est la 1ère chose à faire.
tcpdump/wireshark pour faire le diag si pas résolu.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: loguer les paquets refusés
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Vu que j'ai 5Mo/s de trafic, ça me parait pas jouable sans savoir ce que je cherche.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: loguer les paquets refusés
Posté par nono14 (site web personnel) . Évalué à 2.
en ipv6 ?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: loguer les paquets refusés
Posté par alpha_one_x86 (site web personnel) . Évalué à 0.
C'est vrai que si c'est filtrable par protocole, ça tombe à 100Ko/s je pense, mais ça reste énorme.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: loguer les paquets refusés
Posté par briaeros007 . Évalué à 3.
euh non c'est pas énorme.
Et en plus par défaut, il ne chope que les 68 premiers octets et donc tu n'as que les metadata des paquets et pas trop les data, donc pas trop de soucis.
Au boulot, on a fait des traces de 5Go (avec que les metadata), sur un problème un peu comme le tiens (on savait pas trop quand il arrivais).Ben tu recherches des trucs dedans sans trop de soucis.
[^] # Re: loguer les paquets refusés
Posté par benoar . Évalué à 2.
Et pour ça, Wireshark est ton ami, il te propose un paquet de filtres super sympas pour t'aider à chercher.
[^] # Re: loguer les paquets refusés
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Lancé en console via dumpcap -i eth0 -f 'ip6', je doit recherché quoi?
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: loguer les paquets refusés
Posté par nono14 (site web personnel) . Évalué à 2.
Les paquets icmpv6 lors du ping6 qui foirent ( ip locale ou pas ? ).
Quand cela arrive le routeur/passerelle est joignable ?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: loguer les paquets refusés
Posté par alpha_one_x86 (site web personnel) . Évalué à 0.
Ping sur ip externe, ça foire car la route n'est plus la, ip -6 route:
X:X:X:a505::/64 dev eth0 proto kernel metric 256
X:X:X:a500::/56 dev eth0 proto kernel metric 256 expires 2509425sec
fe80::/64 dev eth0 proto kernel metric 256
ff00::/8 dev eth0 metric 256
Quand ça marche:
2001:41d0:2:a505::/64 dev eth0 proto kernel metric 256
2001:41d0:2:a500::/56 dev eth0 proto kernel metric 256 expires 2591996sec
fe80::/64 dev eth0 proto kernel metric 256
ff00::/8 dev eth0 metric 256
default via fe80::ee30:91ff:fee0:dfc0 dev eth0 proto ra metric 1024 expires 1796sec
default via fe80::12bd:18ff:fee4:5040 dev eth0 proto ra metric 1024 expires 1796sec
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: loguer les paquets refusés
Posté par benoar . Évalué à 3.
OK, on voit en gros que les RA sont valables 1/2h, c'est à peu près le temps au bout duquel tu vois que ça déconne ? Si c'est ça, c'est que soit les routeurs n'envoient pas assez souvent de RA, soit tu les bloques d'une manière ou d'une autre.
Par contre, je vois un autre problème : ta conf. C'est quoi ce /56 sur eth0 ? C'est pas bon, on met toujours un /64 sur un segment Ethernet. Je suppose que c'est que le …a505::/64 qui est le « bon » ? Indique nous ta configuration qu'on en sache plus.
Ah, du coup je comprends, je pense : ça « déconne » 1/2h après que tu actives le forwarding ? C'est normal, car un routeur (qui n'est pas un nœud comme les autres) n'accepte par les RA par défaut. Il faut soit que tu les spécifies manuellement (la méthode traditionnelle ; tu peux demander à celui qui gère les routeurs de « sortie » s'il les configure avec des adresses link-local spécifiques que tu pourrais ajouter manuellement, genre fe80::1), soit que tu dises au kernel d'accepter les RA avec le sysctl net.ipv6.conf.all.accept_ra = 2. Attention, ainsi, il se configurera automatiquement avec une adresse genre SLAAC sur eth0. Si tu n'en veux pas, mets le net.ipv6.conf.all.autoconf = 0.
[^] # Re: loguer les paquets refusés
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Oui, j'ai regarder avec un watch, c'est exactement à la fin de ce compte à rebourd que ça déconne.
Je peu le mettre en fix? Apparement j'ai trouver comme le mettre en fix sous gentoo la passerelle ipv4 et ipv6.
le /56, je sais pas d'ou ça viens, c'est pas dans ma config, j'y est mit que: X:X:X:X:1/64 jusqu'as X:X:X:X:5000/64 donc oui c'est …a505::/64 la plage qui est bonne. Ovh m'as indiquer ces réglages, peu étre qu'il faut que je mette juste X:X:X:X:1/64 dans mon interface…
Normalement j'ai pas à faire de forwarding… j'ai activé au cas ou, mais ça change rien.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: loguer les paquets refusés
Posté par benoar . Évalué à 2.
Normalement une bonne distro te le permet. Sous debian c'est l'attribut "gateway" dans /etc/network/interfaces. Je connais mal Gentoo.
Houla, pourquoi tu veux mettre toutes ces IP sur ta config ?
OK. Si ce /56 apparaît, c'est que tu ne dois pas complètement maîtriser ta config… c'est pas super bon signe pour arriver à correctement gérer ce problème. Elle est indiquée en "proto kernel" ce qui indiquerait (je crois) qu'elle est configurée manuellement, et pas à travers un RA. Si tu veux vérifier que ça ne vient pas par un RA, tu peux soit sniffer les RA, soit l'effacer (ip -6 route del …) et voir si elle revient (quand tu acceptes les RA, i.e. pas quand le forwarding est activé, à moins que tu aies appliqué le workaround que j'ai décrit).
Lesquels exactement ? J'avoue qu'avec l'orthographe assez limite en plus, j'ai du mal à te comprendre précisément.
Moi c'est ce que je te conseillerais, si tu n'utilises que ce /64.
[^] # Re: loguer les paquets refusés
Posté par alpha_one_x86 (site web personnel) . Évalué à 0.
Gentoo le permet, par contre si JE me plante, mon dédié sera inaccessible. Je devrai passer en rescue, réparer, rebooter, gros risque.
J'ai besoin d'au moins une ip par machine virtuelle, et donc vu que c'est environs 3000 sites d'hébergés, plus de 30 machines virtuelles…
je confirme, je ne suis pas encore maitre de l'ipv6…
Cette route reviens aprés le /etc/init.d/net.eth0 restart
http://guide.ovh.com/AjouterAliasIp
ipv6 sous la forme XXXXX/64 dans la config.
Désolé, ma co merde (adsl), et donc réécrire 3x la même chose, au final je fait plus gaffe à l'orthographe.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: loguer les paquets refusés
Posté par benoar . Évalué à 3.
T'as toujours l'IPv4, hein. Et je ne connais pas les dédiés, mais c'est si difficile que ça d'avoir une console série sur ta machine ?!
Cf ce que j'ai dit plus bas, ça m'étonnerait que tu veuilles réellement mettre ces IP sur ton « hyperviseur »…
Pas de problème ; je te conseille d'aller lire http://livre.g6.asso.fr/ si tu veux te former un peu.
Bah… à toi de comprendre pourquoi. Mais du coup, je me dis, que tu te lances dans IPv6 que tu connais mal avec une distro que tu maîtrises mal… tout ça sur une machine ou tu ne peux pas te permettre d'essayer des trucs à peine risqués… ça ne me paraît pas super génial.
Bah, du coup je comprends pas, et je ne peux pas t'aider là-dessus.
Gni ? Tu ne peux pas copier ton message quelque part (ou l'écrire autre part) avant de poster ?…
[^] # Re: loguer les paquets refusés
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Non, tout le service ce coupe si c'est une erreur de syntaxe, du moins avec les vieux script gentoo, avec un OpenRC à jour je sais pas.
Si si, c'est juste avec l'ipv6 que j'ai un problème, pas l'ipv4.
L'ipv6 je connais mal, du moins ce problème que je maîtrise pas suffisamment. Par contre je maitrise bien la distro, plus de 10ans avec…
Ce qui marche pour avoir des routes fixes avec gentoo:
routes_eth0="default gw aa.bb.cc.de
default via fe80::222:56ff:feba:bfbf dev eth0"
Je rajoute les 2 avec la bonne syntaxe?:
default via fe80::ee30:91ff:fee0:dfc0 dev eth0 proto ra metric 1024 expires 1796sec
default via fe80::12bd:18ff:fee4:5040 dev eth0 proto ra metric 1024 expires 1796sec
?
Si je rajoute la 1ere, j'ai:
default via fe80::ee30:91ff:fee0:dfc0 dev eth0 metric 2
default via fe80::ee30:91ff:fee0:dfc0 dev eth0 proto ra metric 1024 expires 1782sec
default via fe80::12bd:18ff:fee4:5040 dev eth0 proto ra metric 1024 expires 1782sec
Donc sans RA…
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: loguer les paquets refusés
Posté par benoar . Évalué à 3.
Gni ? J'ai jamais dit ça… Franchement, entre ne pas citer ce à quoi tu réponds, et ta syntaxe/grammaire déplorable, j'ai vraiment beaucoup de mal à te comprendre et ça me fatigue.
C'est une question ? Une affirmation ? C'est le résultat de ip -6 route, je suppose, mais je ne sais pas ce qu'est la partie que tu cites dessus. En gros, là, tu vois qu'il y a eu une route à priori rajoutée à la main, et deux autres par RA. Je ne comprends pas ce qui ne va pas, et ce que tu veux, bref, exprimes-toi clairement sinon moi j'arrête.
# Iptables
Posté par visualstation . Évalué à 6. Dernière modification le 11 janvier 2014 à 01:01.
IPv4 => iptables
IPv6 => ip6tables
(la faute vient de toi apparemment)
Autorise le trafic sortant par défaut
Autorise lo à sortir (ACCEPT sur l'output)
[^] # Re: Iptables
Posté par visualstation . Évalué à 2.
[^] # Re: Iptables
Posté par visualstation . Évalué à 1.
Ajoute: -A OUTPUT -j ACCEPT dans ta config.
Tu n'autorises que
53
25
587
465
[^] # Re: Iptables
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Oui, je fait bien la diff iptables et ip6tables, si non je pourrai pas appliquer les régles.
Je doit hélas recompiler mon noayu perso pour activé les LOGS iptables…
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: Iptables
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Meme en metant devant toutes les régles: -j ACCEPT partout ça reste buggé… et aussi dans les entétes.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
# a verifier car je pratique pas encore ipv6
Posté par NeoX . Évalué à -1. Dernière modification le 11 janvier 2014 à 02:11.
dans tes regles on trouve du icmp v6
par exemple dans
mais pour le TCP, c'est
-p tcpca ne devrait pas etre tcpv6 ?
sinon comme dit plus haut, attention, pour un parefeu ipv6, c'est ip6tables et pas iptables qu'il faut utiliser.
[^] # Re: a verifier car je pratique pas encore ipv6
Posté par nono14 (site web personnel) . Évalué à 3.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: a verifier car je pratique pas encore ipv6
Posté par NeoX . Évalué à 1.
merci, faut vraiment que je lise les docs ipv6 et que je pratique un peu.
[^] # Re: a verifier car je pratique pas encore ipv6
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Meme en metant devant toutes les régles: -j ACCEPT partout ça reste buggé… et aussi dans les entétes.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: a verifier car je pratique pas encore ipv6
Posté par nono14 (site web personnel) . Évalué à 2.
que retourne ip6tables -L -nv ?
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: a verifier car je pratique pas encore ipv6
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
7196 1618K ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
23 1840 ACCEPT all lo * ::/0 ::/0
3107 225K ACCEPT all * * ::/0 ::/0
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::245 tcp dpt:80
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::245 tcp dpt:443
…
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::811 tcp dpt:80
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::811 tcp dpt:443
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::809 tcp dpt:80
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 134
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 133
0 0 ACCEPT icmpv6 * * ::/0 ::/0
0 0 DROP all * * ::/0 ::/0 recent: CHECK seconds: 300 name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 all * * ::/0 ::/0 recent: REMOVE name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 30 hit_count: 3 name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:XXXX
0 0 all * * ::/0 ::/0 recent: REMOVE name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 2 hit_count: 10 name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:XXXXX
0 0 all * * ::/0 ::/0 recent: REMOVE name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 10 hit_count: 10 name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:xxxx
0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 10 hit_count: 10 name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpts:xxxx:xxxx
0 0 all * * ::/0 ::/0 recent: REMOVE name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::203 tcp dpt:xxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::252 tcp dpt:xxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::252 tcp dpts:xxxx:xxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::132 tcp dpt:xxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::185 tcp dpt:xxx recent: SET name: pop3 side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::722 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::722 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::800 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::800 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::802 tcp dpt:xxxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::802 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::804 tcp dpt:xxxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::804 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::806 tcp dpt:xxxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::806 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::808 tcp dpt:xxxx recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::808 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::810 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::810 tcp dpt:xxxx recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::810 tcp dpt:xxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 2001:X:X:X::810 tcp dpts:xxx:xx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 DROP tcp * * ::/0 ::/0 recent: SET name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all * * ::/0 ::/0
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
7052 1355K ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT all * * ::/0 ::1
0 0 ACCEPT all * * ::1 ::/0
187 26208 ACCEPT all * * ::/0 ::/0
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128
0 0 ACCEPT icmpv6 * * ::/0 ::/0
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:53
0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:53
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:25
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:587
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:465
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:80
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:443
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: a verifier car je pratique pas encore ipv6
Posté par nono14 (site web personnel) . Évalué à 2.
pas de traffic probant ( voir les stats )
ipv6 fixe ?
puis
Un ping6 fonctionne sur les voisins ? routeur, machines du mếme sous réseau
puis réinterer la commande :
ip -6 neigh show
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: a verifier car je pratique pas encore ipv6
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Quand ça marche pas (coupé):
ip -6 neigh show
fe80::ee30:91ff:fee0:dfc0 dev eth0 lladdr ec:30:91:e0:df:c0 router STALE
fe80::12bd:18ff:fee4:5040 dev eth0 lladdr 10:bd:18:e4:50:40 router REACHABLE
Quand ça marche (wget -6 www.ipv6tf.org -O /dev/null -v et ping6 qui marche):
ip -6 neigh show
fe80::ee30:91ff:fee0:dfc0 dev eth0 lladdr ec:30:91:e0:df:c0 router STALE
fe80::12bd:18ff:fee4:5040 dev eth0 lladdr 10:bd:18:e4:50:40 router REACHABLE
Le trafic tcp et icmp (ping6) sont coupé en meme temps.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
# Les bases
Posté par benoar . Évalué à 3.
La base pour diagnostiquer, c'est de nous donner l'état de la table de routage et des adresses :
Et n'as-tu pas plus précis que « quelques dizaines de minutes » ?
As-tu activé des options spéciales ? Pourrais-tu nous donner le résultat de la commande suivante pour voir :
[^] # Re: Les bases
Posté par Ambroise . Évalué à 0.
Correctif sur les commandes de benoar :
Sinon, il faudrait les commandes quand ça marche et quand ça marche pas.
2ème point : dans le thread précédent, tu indique que même quand tu mets toutes les règles à ACCEPT, ça ne marche pas mais que quand tu n'active pas le firewall, ça marche => ce n'est pas logique, par défaut, les règles IPTABLES sont là mais toutes à ACCEPT.
pourras-tu également nous donner le résultat de la commande suivantes :
[^] # Re: Les bases
Posté par benoar . Évalué à 2.
Heu… ça marche très bien juste avec "-6", hein, depuis un bout de temps. Si j'avais à me taper la commande complète à chaque fois, ça me soulerait… (d'habitude, quand je tape, ça ressemble plus à "ip -6 a a 192.168.8.1/24 dev eth0" ou des trucs du genre — même sans le "-6" dans ce cas particulier où ip reconnaît que c'est une IPv6).
[^] # Re: Les bases
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Quand ça marche pas:
ip -f inet6 addr
1: lo: mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: mtu 1500 qlen 1000
inet6 W:W:W:W::815/64 scope global
valid_lft forever preferred_lft forever
inet6 W:W:W:W::814/64 scope global
valid_lft forever preferred_lft forever
inet6 W:W:W:W::813/64 scope global
valid_lft forever preferred_lft forever
inet6 W:W:W:W::203/64 scope global
valid_lft forever preferred_lft forever
inet6 W:W:W:W::132/64 scope global
valid_lft forever preferred_lft forever
inet6 W:W:W:W::233/64 scope global
valid_lft forever preferred_lft forever
inet6 W:W:W:W::185/64 scope global
valid_lft forever preferred_lft forever
inet6 W:W:W:W::1/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::3a60:77ff:fe3e:8b5c/64 scope link
valid_lft forever preferred_lft forever
X:X:X:a505::/64 dev eth0 proto kernel metric 256
X:X:X:a500::/56 dev eth0 proto kernel metric 256 expires 2509425sec
fe80::/64 dev eth0 proto kernel metric 256
ff00::/8 dev eth0 metric 256
Quand ça marche:
2001:41d0:2:a505::/64 dev eth0 proto kernel metric 256
2001:41d0:2:a500::/56 dev eth0 proto kernel metric 256 expires 2591996sec
fe80::/64 dev eth0 proto kernel metric 256
ff00::/8 dev eth0 metric 256
default via fe80::ee30:91ff:fee0:dfc0 dev eth0 proto ra metric 1024 expires 1796sec
default via fe80::12bd:18ff:fee4:5040 dev eth0 proto ra metric 1024 expires 1796sec
ip -f inet6 addr-> meme chose
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: Les bases
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Firewall désactivé:
ip6tables -L -v -n
Chain INPUT (policy ACCEPT 842 packets, 286K bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 568 packets, 157K bytes)
pkts bytes target prot opt in out source destination
Firewall actif:
ip6tables -L -v -n
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
45 2945 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT all lo * ::/0 ::/0
15 1028 ACCEPT all * * ::/0 ::/0
0 0 ACCEPT tcp * * ::/0 x:x:x:x::245 tcp dpt:80
0 0 ACCEPT tcp * * ::/0 x:x:x:x::245 tcp dpt:443
0 0 ACCEPT tcp * * ::/0 x:x:x:x::233 tcp dpt:80
0 0 ACCEPT tcp * * ::/0 x:x:x:x::233 tcp dpt:443
0 0 ACCEPT tcp * * ::/0 x:x:x:x::206 tcp dpt:80
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 134
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 133
0 0 ACCEPT icmpv6 * * ::/0 ::/0
0 0 DROP all * * ::/0 ::/0 recent: CHECK seconds: 300 name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 all * * ::/0 ::/0 recent: REMOVE name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 30 hit_count: 3 name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:XXXXX
0 0 all * * ::/0 ::/0 recent: REMOVE name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 2 hit_count: 10 name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:XXXXXX
0 0 all * * ::/0 ::/0 recent: REMOVE name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 10 hit_count: 10 name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpt:xxxx
0 0 DROP tcp * * ::/0 ::/0 recent: CHECK seconds: 10 hit_count: 10 name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff tcp dpts:xxxxx:xxxxx
0 0 all * * ::/0 ::/0 recent: REMOVE name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::203 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::252 tcp dpt:xxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::252 tcp dpts:xxxxx:xxxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::132 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::722 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::722 tcp dpt:XXXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::802 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::802 tcp dpt:XXXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::809 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::809 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::808 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::808 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::810 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::811 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::812 tcp dpt:XXXXXX recent: SET name: services side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::813 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::814 tcp dpt:XXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::815 tcp dpt:XXXXXX recent: SET name: sshd side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::816 tcp dpt:xxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 ACCEPT tcp * * ::/0 x:x:x:x::817 tcp dpts:xxxxx:xxxxx recent: SET name: ftp side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
0 0 DROP tcp * * ::/0 ::/0 recent: SET name: portscan side: source mask: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all * * ::/0 ::/0
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
43 2805 ACCEPT all * * ::/0 ::/0 state RELATED,ESTABLISHED
0 0 ACCEPT all * * ::/0 ::1
0 0 ACCEPT all * * ::1 ::/0
3 180 ACCEPT all * * ::/0 ::/0
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 136
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 135
0 0 ACCEPT icmpv6 * * ::/0 ::/0 ipv6-icmptype 128
0 0 ACCEPT icmpv6 * * ::/0 ::/0
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:53
0 0 ACCEPT udp * * ::/0 ::/0 udp dpt:53
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:25
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:587
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:465
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:80
0 0 ACCEPT tcp * * ::/0 ::/0 tcp dpt:443
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: Les bases
Posté par benoar . Évalué à 2.
C'est bizarre toutes ces adresses sur eth0, qui ont en plus à priori été configurées à la main (valid_lft forever…). C'est toi qui fait ça ?
[^] # Re: Les bases
Posté par alpha_one_x86 (site web personnel) . Évalué à 0.
Oui, c'est la même chose que ipv4 (ip failover d'ovh) mais en ipv6, c'est pour avoir tel et tel ip sur mes vm en vserver. Ai-je fait une erreur? La configuration manuel est recommande, surtout pour évité les faille dhcp et les coupure lors du renouvellement d'ip qui est fixe…
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: Les bases
Posté par benoar . Évalué à 2.
OK.
Ah non, je ne comprends pas en fait. C'est du failover pour ta machine ou pour tes VMs ? Si c'est pour tes VMs, pourquoi les attribues-tu à l'interface de ton « hyperviseur » (en quelques sortes) ?
Pourrais-tu décrire plus précisément ton setup ? Parce que tu n'as toujours pas dit clairement ce que tu voulais obtenir, et comment tu avais fait jusqu'à maintenant. Tu veux « connecter » tes VMs au net ? Tu veux les bridger ou les router ?
Les « failles » DHCP ? Mouai, moyen détourné de dire « on sait pas gérer un DHCP » (de la part d'OVH)… Et les coupures lors du « renouvellement » d'IP, tu parles encore du DHCP ? Ou d'autre chose ?! Je ne comprends pas trop sinon : une IP fixe mais « renouvelée » ?…
[^] # Re: Les bases
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
J'alloue mes ips à mon hyperviseur car c'est de la para-virtualisation (vserver), en gros mes processus sont juste chrooter mais exécuter sur le noyau de la machine dédié. (LXC ou les chroots BSD sont assez similaire). J'aurai pas du parler des machines virtuelle pour pas embrouiller, dsl.
J'ai une (ou plusieurs) ip par vm. Et donc si sur l'hote ça marche, je me charge des filles qui sont la même chose.
Oublie cette partie, on vas s'enbrouiller, en gros en dhcp, et avec ovh, l'ip est coupé temporairement puis redéfinit de nouveau, mais c'est toujours la meme ip. C'est peu étre moi qui ne sais pas géré le DHCP, mais bon, ip fixe ça me vas bien.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: Les bases
Posté par NeoX . Évalué à 3. Dernière modification le 15 janvier 2014 à 23:22.
oui mais non
avec LXC ou openVZ la config reseau se fait sur une interface virtuelle par dessus eth0, dans mon cas br0 qui est l'interface bridge
et des cartes virbrXY pour chaque conteneur
il ne faut donc pas mettre les IP Failover sur la carte eth0 de ton serveur physique
[^] # Re: Les bases
Posté par alpha_one_x86 (site web personnel) . Évalué à 1.
Assez similaire comme principe de virtualisation… comment tu viens de le confirmer, manière différente de config le réseau.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: Les bases
Posté par NeoX . Évalué à 2.
sauf que toi tu veux mettre tes IPs fail over sur la carte physique du serveur
et faire une cuisine derriere pour les envoyer à la bonne machine virtuelle.
alors qu'il faudrait faire l'inverse,
- bridger tes VMs sur la carte physique
- assigner les IPv4 et IPv6 sur les cartes virtuelles (dans les VMs donc)
[^] # Re: Les bases
Posté par alpha_one_x86 (site web personnel) . Évalué à 0.
Non, ce que je fait c'est la procédures standard de vserver, ce qui permet de couper la couche bridge et gagné en latence. Car si j'ai bien compris, tu me demande de faire br0 avec: eth0, tap0, tapX…, ce que je fait en virtualisation (qemu).
Mais bon, comme je disait, j'aurai pas du parler des vm.
Tant que ça marche sur l’hôte ça me vas. En passant, l'ajout des routes en statique marche, celle du protocole RA merde dés que le firewall est actif, même si j'ai mit ACCEPT partout.
Mon projet libre: http://ultracopier-fr.first-world.info/, mon jeu libre: http://catchchallenger.first-world.info/
[^] # Re: Les bases
Posté par nono14 (site web personnel) . Évalué à 3.
Je sais pas si c'est ton cas, mais les ra ne passent pas les ponts.
Système - Réseau - Sécurité Open Source - Ouvert à de nouvelles opportunités
[^] # Re: Les bases
Posté par benoar . Évalué à 2.
Chez moi ça marche.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.