gothico a écrit 27 commentaires

J'ai changé dans login.defs et rien ne changeait alors, j'ai changé celui de mon user (bash_profile), cela fonctionne pour le bash, mais pas pour le NFS...

Comment faire?

Et ça change quoi?

Hum je ne connais pas pam, tu veux dire quoi par là?

Pas de problème pour l'umask par utilisateur, ils ne le changeront pas (mais c'est vrai que dans certain cas cela peut être embêtant).

Merci!

Cela confirme que la première solution reste la plus simple.

Le UMASK général se modifie bien dans /etc/login.defs ?

Huum et comment je vois ça?

Merci.

Merci pour l'info, voilà l'exemple d'un mail qui arrive :

procmail: Match on "^(Delivered-To|TO).*guillaume_xxx@free.fr"
procmail: Assigning "LASTFOLDER=/var/mail/mdir/gothico/.INBOX.Free/new/1204281016.20758_2.clara"
procmail: Notified comsat: "gothico@0:/var/mail/mdir/gothico/.INBOX.Free/new/1204281016.20758_2.clara"
From guillaume_xxx@free.fr Fri Feb 29 11:30:06 2008
Subject: test ath.cx
Folder: /var/mail/mdir/gothico/.INBOX.Free/new/1204281016.20758_2.cl 2150


Je regarde ensuite dans le répertoire en question, le mail est bien là!!!!

Génial cela fonctionne, mais je ne comprend pas, pourquoi lorsque je n'avait pas de LOG cela ne fonctionnait pas??

J'ai testé en supprimant le LOG de gothico/.procmailrc, cela fonctionne, mais si j'enleve le LOG de /etc/procmailrc, cela ne fonctionne plus :(

Oui postfix fonctionne bien apparemment, j'ai un Mailman qui marche bien et un autre utilisateur qui utilise Procmail qui fonctionne bien aussi, donc pas de problème avec /usr/bin/procmail ...

J'ai vérifié les droits de mon .procmailrc et ceux de mes mais, ils sont correcte, mais ya pas de raison qu'il soit différent d'avant, c'est là que je comprend pas...

J'ai un procmailrc général aussi dans /etc qui a l'air de bien fonctionner étant donné l'autre utilisateur qui fonctionne.

Mon LOG est mal passé on dirait, la voilà :

Feb 28 17:18:08 clara postfix/smtpd[7192]: connect from smtp6-g19.free.fr[212.27.42.36]
Feb 28 17:18:08 clara postfix/smtpd[7192]: 22B2B5580EF: client=smtp6-g19.free.fr[212.27.42.36]
Feb 28 17:18:08 clara postfix/cleanup[7193]: 22B2B5580EF: message-id=<1204215481.47c6deb909de6@imp.free.fr>
Feb 28 17:18:08 clara postfix/smtpd[7192]: disconnect from smtp6-g19.free.fr[212.27.42.36]
Feb 28 17:18:08 clara postfix/nqmgr[2878]: 22B2B5580EF: from=<guillaume_xxx@free.fr>, size=1232, nrcpt=1 (queue active)
Feb 28 17:18:08 clara postfix/local[7194]: 22B2B5580EF: to=<user@gothico.ath.cx>, relay=local, delay=0, status=sent ("|/usr/bin/procmail")

1 - Ok pour le flush. Mais d'ailleurs, si je n'ai aucunes règles ce n'est pas grave non plus puisque je suis en local?
2 - Ok pour l'upgrade, mais je n'en ai pas fait entre temps :/
3 - On le change comment ce security level?

Désolé de répondre en masse, mais je voulais encore ajouter quelque chose, dans mon iptables actuel, il est écrit en commentaire :

# Firewall configuration written by redhat-config-securitylevel

:|

Ca a donc enlever tout ce qui était dans INPUT, et pour le reste, c'est bon?

Je viens de fouiner dans mes sauvegardes qui date d'avant ce fameux reboot, j'ai trouvé ça /etc/sysconfig/iptables :

*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT

Je n'avais rien! Comment cela a pu être ajouté?

iptables -F INPUT fontionne!!!!

Merci!

Tu peux m'expliquer maintenant STP?
Et comment ceci a pu appartaitre?

Merci encore, vraimen!!

En effet, mon serveur a l'air d'envoyer le rejet ICMP :

000000 IP 192.168.0.23 > 192.168.0.254: icmp 68: host 192.168.0.23 unreachable - admin prohibited

-> iptables --list -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
297K 95M RH-Firewall-1-INPUT all -- any any anywhere anywhere

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 RH-Firewall-1-INPUT all -- any any anywhere anywhere

Chain OUTPUT (policy ACCEPT 328K packets, 86M bytes)
pkts bytes target prot opt in out source destination

Chain RH-Firewall-1-INPUT (2 references)
pkts bytes target prot opt in out source destination
10204 880K ACCEPT all -- lo any anywhere anywhere
4374 367K ACCEPT icmp -- any any anywhere anywhere icmp any
0 0 ACCEPT ipv6-crypt-- any any anywhere anywhere
0 0 ACCEPT ipv6-auth-- any any anywhere anywhere
226K 88M ACCEPT all -- any any anywhere anywhere state RELATED,ESTABLISHED
56720 5418K REJECT all -- any any anywhere anywhere reject-with icmp-host-prohibited

Je ne connais pas iptables, cela ne change pas grand chose par rapport à iptables --list, non?

Plus d'idées?

Ma table arp fonctionne bien pour les réponses du ping.

Je viens de faire plusieurs tests avec tcpdump, qui me permette de conclure que mon serveur ne répond à aucunes demandes, mais les reçoit bien.

Exemple avec le serveur WEB, port 80 :
(source = BOT live.com)

> tcpdump -ttt -i eth0 tcp port 80

000000 IP livebot-65-55-210-63.search.live.com.15939 > 192.168.0.23.http: S 3911052111:3911052111(0) win 65535 <mss 1460,nop,nop,sackOK>
11. 922363 IP livebot-65-55-210-63.search.live.com.16251 > 192.168.0.23.http: S 76242683:76242683(0) win 65535 <mss 1460,nop,nop,sackOK>
3. 061209 IP livebot-65-55-210-63.search.live.com.16251 > 192.168.0.23.http: S 76242683:76242683(0) win 65535 <mss 1460,nop,nop,sackOK>
5. 906171 IP livebot-65-55-210-63.search.live.com.16251 > 192.168.0.23.http: S 76242683:76242683(0) win 65535 <mss 1460,nop,nop,sackOK>

Je suis en train d'être scanné par un BOT de live.com (en cours dé référencement), on voit bien que mon serveur ne répond pas à ces requetes.


Exemple avec le serveur FTP, port 21 :
(source = PC fixe 192.168.0.1 (dahu))

> tcpdump -ttt -i eth0 tcp port 21

000000 IP dahu.54246 > 192.168.0.23.ftp: S 3850633217:3850633217(0) win 5840 <mss 1460,sackOK,timestamp 42974142 0,nop,wscale 2>

On voit qu'il n'y a pas de réponse, d'ailleurs, la demande est immédiatement rejetée sur mon PC fixe par : ftp: connect: No route to host


Exemple avec le serveur SSH, port 22 :
(source = PC fixe 192.168.0.1 (dahu))

> tcpdump -ttt -i eth0 tcp port 22

000000 IP dahu.58940 > 192.168.0.23.ssh: S 3959785007:3959785007(0) win 5840 <mss 1460,sackOK,timestamp 42999314 0,nop,wscale 2>

On voit qu'il n'y a pas de réponse, d'ailleurs, la demande est immédiatement rejetée également sur mon PC fixe par : ssh: connect to host 192.168.0.23 port 22: No route to host


J'aimerais simplement comprendre pourquoi pour résoudre cela...
Merci pour votre aide.

Rien du coté des hotes interdits.

Vais tenter de m'amuser avec tcpdump, mais, au fait, comment reconnaitre vraiment les réponses que pourrais faire mon serveur?

On est bien d'accord que cela ne peut pas être un problème matériel?

Merci pour vos réponses, je vais essayer d'approfondir ça ce soir...

fcartegnie > Effectivement tous se ping très bien (host->server, server->host).
Mon httpd.conf n'a pas été modifié.

Si je :
route add -host 192.168.0.1 dev eth0
Qu'est ce que cela doit faire normalement?


Je rappel que tout ceci m'est arrivé simplement après un redémarrage, juste avant, tout ces services fonctionnaient :

- Serveur WEB : apache, mysql, php ...
- Serveur MAIL : postfix, dovecot, ...
- Serveur FTP : proftpd
- Serveur de fichiers : samba et nfs
- Serveur SSH

Depuis, tous ces services ne me sont accessible qu'en localhost...

Je comprend pas trop ce que tu veux dire par là?

Pour l'interface sans fil, c'est mon PC portable qui est dessus, c'est un PA qui est branché sur mon routeur :

Internet
|---- Routeur = 192.168.0.254
|----|---- Serveur = 192.168.0.23
|----|---- PC fixe = 192.168.0.1
|----|---- PA WIFI = 192.168.0.253
|----|----|---- PC portable = 192.168.10.153

Mais oublions l'interface sans fil, j'obtiens la même chose de mon PC fixe directement en eth...

Si mon serveur est branché sur un routeur NAT comme tous mes PC ;)

Internet
---- Routeur = 192.168.0.254
-------- Serveur = 192.168.0.23
-------- PC fixe = 192.168.0.1

Je fais la route kan même?

Pour iptables, je ne l'ai jamais modifié, cela doit être les valeurs par défaut de FC3.

Je sais pas si cela correspond parfaitement à tes besoins, mais j'utilise http://www.phpwebgallery.net/

J'ai créé une extension linux pour créer les Galeries :
http://phpwebgallery.net/ext/extension_view.php?eid=28

++

Ci-dessous, les résultats.

Je précise que j'ai toujours laissé la configuration de base pour cela, je n'utilise pas ce serveur comme firewall, d'ailleurs, je ne connais pas vraiment les commandes d'iptables, est-ce que quelque chose bloque ici?

Merci beaucoup.

>route -n

Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.1.2 0.0.0.0 255.255.255.255 UH 0 0 0 tun0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 0 eth0

>iptables --list

Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Merci, c'est vrai qu'il faut que je regarde ça.
(ce soir, car j'ai plus d'accès à distance ducoup)

Mais c'est vrai que j'ai vraiment l'impression que mon serveur bloque tout, car je peux facilement me connecter en ssh de mon serveur sur un PC distant...

Oui c'est bien l'IP de mon routeur, je viens de le mettre dans mon fichier export et cela fonctionne bien!

Malheureusement impossible de désactiver le NAT sur ce point d'accès...

Mon serveur reçoit bien la trame de demande NFS en fait.
Voici le résultat :

$ tcpdump -ttt -i eth0 tcp port 2049

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
000000 IP 192.168.0.253.923 > 192.168.0.23.nfs: S 2640470090:2640470090(0) win 5840 <mss 1460,sackOK,timestamp 3184917 0,nop,wscale 2>
000038 IP 192.168.0.23.nfs > 192.168.0.253.923: S 3255494409:3255494409(0) ack 2640470091 win 5792 <mss 1460,sackOK,timestamp 2203295847 3184917,nop,wscale 0>
002685 IP 192.168.0.253.923 > 192.168.0.23.nfs: . ack 1 win 1460 <nop,nop,timestamp 3184918 2203295847>
003899 IP 192.168.0.253.999714604 > 192.168.0.23.nfs: 44 null
000069 IP 192.168.0.23.nfs > 192.168.0.253.923: . ack 45 win 5792 <nop,nop,timestamp 2203295848 3184919>
000065 IP 192.168.0.23.nfs > 192.168.0.253.999714604: reply ok 28 null
003371 IP 192.168.0.253.923 > 192.168.0.23.nfs: . ack 29 win 1460 <nop,nop,timestamp 3184920 2203295848>
024389 IP 192.168.0.253.923 > 192.168.0.23.nfs: F 45:45(0) ack 29 win 1460 <nop,nop,timestamp 3184926 2203295848>
000277 IP 192.168.0.23.nfs > 192.168.0.253.923: F 29:29(0) ack 46 win 5792 <nop,nop,timestamp 2203295851 3184926>
002747 IP 192.168.0.253.923 > 192.168.0.23.nfs: . ack 30 win 1460 <nop,nop,timestamp 3184926 2203295851>

Comprend pas cet IP 192.168.0.253.923, c'est celui la que je dois authoriser?

Je pensais aussi, je dois ptet rediriger des ports pour ça, non?
Je ne vois pas d'autre choses... Mais la redirection de 2049 UDP/TCP vers mon serveur ne résolve pas le problème.....

Merci.