This is a multi-part message in MIME format.
bonsoir la team!
j'ai un serveur Debian (version stable) qui sert de passerelle entre mon réseau interne et l'extérieur. Il est en route en permanence et
s'installe les mises à jour de sécurité, sans rebooter.
* eth0 est l'interface interne, IP statique.
* eth1 est l'interface externe,connectée à une Freebox qui lui donne l'IP.
* tun0 est l'interface VPN
Sur la Freebox, une DMZ redirige les flux entrants vers mon serveur pour ouvrir mon serveur sur l'extérieur (SSH, WEB, VPN...).
IPTable fait le tri en entrée et assure le routage des paquets à l'extérieur et Fail2ban bannit les indésirables.
Tout cela fonctionne depuis plusieurs années sans pb malgré les
changements d'opérateur et de version Debian.
Récemment, une maintenance matérielle (upgrade RAM) m'a contraint à le redémarrer après qq mois sans histoire.
Au démarrage, rien ne va plus : extérieur difficilement joignable, NAT inopérant, DMZ HS (services non joignables depuis l'extérieur).
Inversement, le serveur n'a plus accès à internet (ping HS)
J'ai pensé à une régression du au noyau, un redémarrage en version 6.1.0-15 n'a rien donné.
uname -a
Linux quietty 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.76-1 (2024-02-01) x86_64 GNU/Linux
J'ai trouvé des IP martiennes dans la syslog, je ne sais pas si c'est lié :
2024-02-26T16:51:24.146290+01:00 quietty kernel: [ 1180.427493] IPv4:
martian source *192.168.1.1* from 45.155.91.29, on dev *eth1* 2024-02-26T16:51:24.146322+01:00 quietty kernel: [ 1180.427508] ll
header: 00000000: *8e a8 a4 c7 35 98* 70 fc 8f 5e 60 da 08 00 2024-02-26T16:51:33.478276+01:00 quietty kernel: [ 1189.762277] IPv4:
martian source *192.168.1.1* from 43.133.145.230, on dev *eth1* 2024-02-26T16:51:33.478309+01:00 quietty kernel: [ 1189.762292] ll
header: 00000000: *8e a8 a4 c7 35 98* 70 fc 8f 5e 60 da 08 00 2024-02-26T16:51:36.742277+01:00 quietty kernel: [ 1193.025728] IPv4:
martian source 1*92.168.1.1* from 179.105.36.19, on dev *eth1* 2024-02-26T16:51:36.742306+01:00 quietty kernel: [ 1193.025742] ll
header: 00000000: *8e a8 a4 c7 35 98 *70 fc 8f 5e 60 da 08 00 2024-02-26T16:51:49.210275+01:00 quietty kernel: [ 1205.495322] IPv4:
martian source *192.168.1.1* from 91.148.190.174, on dev *eth1* 2024-02-26T16:51:49.210305+01:00 quietty kernel: [ 1205.495335] ll
header: 00000000: *8e a8 a4 c7 35 98* 70 fc 8f 5e 60 da 08 00 2024-02-26T16:51:58.990298+01:00 quietty kernel: [ 1215.272829] IPv4:
martian source *192.168.1.1* from 176.111.174.29, on dev *eth1* 2024-02-26T16:51:58.990328+01:00 quietty kernel: [ 1215.272841] ll
header: 00000000: *8e a8 a4 c7 35 9*8 70 fc 8f 5e 60 da 08 00
Je n'avais pas ça avant. Une recherche sur Internet ne m'a pas vraiment aidé.
Quelques éléments techniques :
* ip addr :*
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 1000
link/ether 00:50:bf:d8:b9:1f brd ff:ff:ff:ff:ff:ff
altname enp5s3
inet 192.168.2.1/24 brd 192.168.2.255 scope global eth0
valid_lft forever preferred_lft forever
3: *eth1*: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel
state UP group default qlen 1000
link/ether *8e:a8:a4:c7:35:98* brd ff:ff:ff:ff:ff:ff
altname enp2s0
inet *192.168.1.1*/24 metric 1024 brd 192.168.1.255 scope global dynamic eth1
valid_lft 42186sec preferred_lft 42186sec
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc
fq_codel state UNKNOWN group default qlen 500
link/none
inet 192.168.3.1/24 scope global tun0
valid_lft forever preferred_lft forever
*configuration des interfaces :*
/etc/systemd/network/eth0.network
[Match]
Name=eth0
#MACAddress=Adresse MAC de l'interface
[Link]
#MACAddress=Changer l'adresse MAC
#MTUBytes=Changer la valeur du MTU
[Network]
Address=192.168.2.1/24
Gateway=192.168.2.1
DNS=192.168.2.1 127.0.0.1
Domains=vets.in
IPv6PrivacyExtensions=false
/etc/systemd/network/eth1.network
[Match]
Name=*eth1*
[Network]
DHCP=*ipv4*
*ip route*
default via 192.168.2.1 dev eth0 proto static
default via 192.168.1.254 dev eth1 proto dhcp src 192.168.1.1 metric 1024 192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1 metric 1024 192.168.1.1 dev eth1 proto dhcp scope host src 192.168.1.1 metric 1024 192.168.1.254 dev eth1 proto dhcp scope link src 192.168.1.1 metric 1024 192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.1
192.168.3.0/24 dev tun0 proto kernel scope link src 192.168.3.1
(192.168.1.254 : Freebox)
*iptables -L -v*
Chain INPUT (policy DROP 582 packets, 64731 bytes)
pkts bytes target prot opt in out source
destination
30176 2346K ACCEPT all -- lo any anywhere anywhere
3225 522K ACCEPT all -- eth0 any anywhere anywhere
820K 1189M ACCEPT all -- any any anywhere
anywhere state RELATED,ESTABLISHED
0 0 ACCEPT icmp -- any any anywhere
anywhere icmp any
0 0 ACCEPT igmp -- any any anywhere anywhere
0 0 ACCEPT udp -- any any anywhere
anywhere udp dpt:discard
2 148 ACCEPT tcp -- any any anywhere
anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any any anywhere
anywhere tcp dpt:domain
971 67218 ACCEPT udp -- any any anywhere
anywhere udp dpt:domain
0 0 ACCEPT tcp -- any any anywhere
anywhere tcp dpt:http
617 36708 ACCEPT tcp -- any any anywhere
anywhere tcp dpt:https
0 0 ACCEPT udp -- any any anywhere
anywhere udp dpt:openvpn
0 0 ACCEPT tcp -- any any anywhere
anywhere tcp dpt:5000
*iptables -L -t nat -v*
Chain PREROUTING (policy ACCEPT 3498 packets, 319K bytes)
pkts bytes target prot opt in out source
destination
Chain INPUT (policy ACCEPT 1729 packets, 189K bytes)
pkts bytes target prot opt in out source
destination
Chain OUTPUT (policy ACCEPT 6343 packets, 520K bytes)
pkts bytes target prot opt in out source
destination
Chain POSTROUTING (policy ACCEPT 6006 packets, 509K bytes)
pkts bytes target prot opt in out source
destination
* 693 87361 MASQUERADE all -- any eth1 anywhere
anywhere *
0 0 MASQUERADE all -- any tun0 anywhere anywhere
ya du trafic sur l'interface, mais tout le monde se trourne les pouces.
Les services fonctionnent bien, j'y ai accès depuis le réseau de la
Freebox (192.168.1.0) mais pas depuis l'adresse externe (qui n'a pas
changé).
J'exclus un dysfonctionnement de la Freebox, elle vient d'être changé.
si vous avez des idées, je suis preneur, je ne vois pas ....
Erwann :(
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
<p>bonsoir la team!<br>
</p>
<p>j'ai un serveur Debian (version stable) qui sert de passerelle
entre mon réseau interne et l'extérieur. Il est en route en
permanence et s'installe les mises à jour de sécurité, sans
rebooter.<br>
</p>
<ul>
<li>eth0 est l'interface interne, IP statique.</li>
<li>eth1 est l'interface externe,connectée à une Freebox qui lui
donne l'IP.</li>
<li>tun0 est l'interface VPN</li>
</ul>
<p>Sur la Freebox, une DMZ redirige les flux entrants vers mon
serveur pour ouvrir mon serveur sur l'extérieur (SSH, WEB,
VPN...). <br>
</p>
<p>IPTable fait le tri en entrée et assure le routage des paquets à
l'extérieur et Fail2ban bannit les indésirables.</p>
<p>Tout cela fonctionne depuis plusieurs années sans pb malgré les
changements d'opérateur et de version Debian.</p>
<p><br>
</p>
<p>Récemment, une maintenance matérielle (upgrade RAM) m'a contraint
à le redémarrer après qq mois sans histoire.</p>
<p>Au démarrage, rien ne va plus : extérieur difficilement
joignable, NAT inopérant, DMZ HS (services non joignables depuis
l'extérieur). <br>
</p>
<p>Inversement, le serveur n'a plus accès à internet (ping HS)<br>
</p>
<p>J'ai pensé à une régression du au noyau, un redémarrage en
version 6.1.0-15 n'a rien donné.<br>
</p>
<p>uname -a<br>
Linux quietty 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian
6.1.76-1 (2024-02-01) x86_64 GNU/Linux<br>
<br>
</p>
<p><br>
</p>
J'ai trouvé des IP martiennes dans la syslog, je ne sais pas si
c'est lié :
<p>2024-02-26T16:51:24.146290+01:00 quietty kernel: [ 1180.427493]
IPv4: martian source <b>192.168.1.1</b> from 45.155.91.29, on dev
<b>eth1</b><br>
2024-02-26T16:51:24.146322+01:00 quietty kernel: [ 1180.427508] ll
header: 00000000: <b>8e a8 a4 c7 35 98</b> 70 fc 8f 5e 60 da 08
00<br>
2024-02-26T16:51:33.478276+01:00 quietty kernel: [ 1189.762277]
IPv4: martian source <b>192.168.1.1</b> from 43.133.145.230, on
dev <b>eth1</b><br>
2024-02-26T16:51:33.478309+01:00 quietty kernel: [ 1189.762292] ll
header: 00000000: <b>8e a8 a4 c7 35 98</b> 70 fc 8f 5e 60 da 08
00<br>
2024-02-26T16:51:36.742277+01:00 quietty kernel: [ 1193.025728]
IPv4: martian source 1<b>92.168.1.1</b> from 179.105.36.19, on dev
<b>eth1</b><br>
2024-02-26T16:51:36.742306+01:00 quietty kernel: [ 1193.025742] ll
header: 00000000: <b>8e a8 a4 c7 35 98 </b>70 fc 8f 5e 60 da 08
00<br>
2024-02-26T16:51:49.210275+01:00 quietty kernel: [ 1205.495322]
IPv4: martian source <b>192.168.1.1</b> from 91.148.190.174, on
dev <b>eth1</b><br>
2024-02-26T16:51:49.210305+01:00 quietty kernel: [ 1205.495335] ll
header: 00000000: <b>8e a8 a4 c7 35 98</b> 70 fc 8f 5e 60 da 08
00<br>
2024-02-26T16:51:58.990298+01:00 quietty kernel: [ 1215.272829]
IPv4: martian source <b>192.168.1.1</b> from 176.111.174.29, on
dev <b>eth1</b><br>
2024-02-26T16:51:58.990328+01:00 quietty kernel: [ 1215.272841] ll
header: 00000000: <b>8e a8 a4 c7 35 9</b>8 70 fc 8f 5e 60 da 08
00<br>
</p>
<p>Je n'avais pas ça avant. Une recherche sur Internet ne m'a pas
vraiment aidé.<br>
</p>
<p><br>
</p>
<p>Quelques éléments techniques :<br>
</p>
<p><b> ip addr :</b><br>
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state
UNKNOWN group default qlen 1000<br>
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00<br>
inet 127.0.0.1/8 scope host lo<br>
valid_lft forever preferred_lft forever<br>
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
fq_codel state UNKNOWN group default qlen 1000<br>
link/ether 00:50:bf:d8:b9:1f brd ff:ff:ff:ff:ff:ff<br>
altname enp5s3<br>
inet 192.168.2.1/24 brd 192.168.2.255 scope global eth0<br>
valid_lft forever preferred_lft forever<br>
3: <b>eth1</b>: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
qdisc fq_codel state UP group default qlen 1000<br>
link/ether <b>8e:a8:a4:c7:35:98</b> brd ff:ff:ff:ff:ff:ff<br>
altname enp2s0<br>
inet <b>192.168.1.1</b>/24 metric 1024 brd 192.168.1.255
scope global dynamic eth1<br>
valid_lft 42186sec preferred_lft 42186sec<br>
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500
qdisc fq_codel state UNKNOWN group default qlen 500<br>
link/none <br>
inet 192.168.3.1/24 scope global tun0<br>
valid_lft forever preferred_lft forever<br>
</p>
<p><br>
</p>
<p><b>configuration des interfaces :</b></p>
<p>/etc/systemd/network/eth0.network<br>
[Match]<br>
Name=eth0<br>
#MACAddress=Adresse MAC de l'interface<br>
<br>
[Link]<br>
#MACAddress=Changer l'adresse MAC<br>
#MTUBytes=Changer la valeur du MTU<br>
<br>
[Network]<br>
Address=192.168.2.1/24<br>
Gateway=192.168.2.1<br>
DNS=192.168.2.1 127.0.0.1<br>
Domains=vets.in<br>
IPv6PrivacyExtensions=false</p>
<p><br>
</p>
<p>/etc/systemd/network/eth1.network<br>
</p>
<p>[Match]<br>
Name=<b>eth1</b><br>
<br>
[Network]<br>
DHCP=<b>ipv4</b><br>
<br>
</p>
<p><b>ip route</b><br>
default via 192.168.2.1 dev eth0 proto static <br>
default via 192.168.1.254 dev eth1 proto dhcp src 192.168.1.1
metric 1024 <br>
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
metric 1024 <br>
192.168.1.1 dev eth1 proto dhcp scope host src 192.168.1.1 metric
1024 <br>
192.168.1.254 dev eth1 proto dhcp scope link src 192.168.1.1
metric 1024 <br>
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.1 <br>
192.168.3.0/24 dev tun0 proto kernel scope link src 192.168.3.1 <br>
</p>
<p>(192.168.1.254 : Freebox)</p>
<p><br>
</p>
<p><b>iptables -L -v</b><br>
Chain INPUT (policy DROP 582 packets, 64731 bytes)<br>
pkts bytes target prot opt in out
source destination <br>
30176 2346K ACCEPT all -- lo any
anywhere anywhere <br>
3225 522K ACCEPT all -- eth0 any
anywhere anywhere <br>
820K 1189M ACCEPT all -- any any
anywhere anywhere state
RELATED,ESTABLISHED<br>
0 0 ACCEPT icmp -- any any
anywhere anywhere icmp any<br>
0 0 ACCEPT igmp -- any any
anywhere anywhere <br>
0 0 ACCEPT udp -- any any
anywhere anywhere udp dpt:discard<br>
2 148 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:ssh<br>
0 0 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:domain<br>
971 67218 ACCEPT udp -- any any
anywhere anywhere udp dpt:domain<br>
0 0 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:http<br>
617 36708 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:https<br>
0 0 ACCEPT udp -- any any
anywhere anywhere udp dpt:openvpn<br>
0 0 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:5000<br>
<br>
</p>
<p><br>
</p>
<p><b>iptables -L -t nat -v</b><br>
Chain PREROUTING (policy ACCEPT 3498 packets, 319K bytes)<br>
pkts bytes target prot opt in out
source destination <br>
<br>
Chain INPUT (policy ACCEPT 1729 packets, 189K bytes)<br>
pkts bytes target prot opt in out
source destination <br>
<br>
Chain OUTPUT (policy ACCEPT 6343 packets, 520K bytes)<br>
pkts bytes target prot opt in out
source destination <br>
<br>
Chain POSTROUTING (policy ACCEPT 6006 packets, 509K bytes)<br>
pkts bytes target prot opt in out
source destination <br>
<b> 693 87361 MASQUERADE all -- any eth1
anywhere anywhere </b> <br>
0 0 MASQUERADE all -- any tun0
anywhere anywhere <br>
</p>
<p>ya du trafic sur l'interface, mais tout le monde se trourne les
pouces.</p>
<p><br>
</p>
<p>Les services fonctionnent bien, j'y ai accès depuis le réseau de
la Freebox (192.168.1.0) mais pas depuis l'adresse externe (qui
n'a pas changé).</p>
<p>J'exclus un dysfonctionnement de la Freebox, elle vient d'être
changé.</p>
<p><br>
</p>
<p>si vous avez des idées, je suis preneur, je ne vois pas ....</p>
<p>Erwann :(<br>
</p>
<div id="grammalecte_menu_main_button_shadow_host"
style="width: 0px; height: 0px;"></div>
</body>
</html>
--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)