OVH Community, votre nouvel espace communautaire.

Serveur down = AU SECOURRRRRRR


André
31/05/2004, 20h55
Cela fonctionne parfaitement désormais, merci pour vos avis sur la chose.

J'ai juste descendu la ligne DROP en dernière ligne, et maintenant tout fonctionne parfaitement !

Merci

Fraser
26/05/2004, 13h05
Avant de dropper le TCP, faudrait déjà que l'icmp puisse pouvoir tenter d'établir la connexion.....

ortoloj1
26/05/2004, 11h04
Bonjour
Il me semble qu'aucune règle ne permet explicitement les paquets IP de type ICMP ou UDP, de passer.

Donc la dernière règle, qui empêche tous les types de paquets ( y compris UDP et ICMP ) de passer pour toutes adresses, empêche bel et bien les paquets ICMP et UDP de passer.

Or, un ping utilise des paquets de type ICMP, il est donc logique qu'il soit impossible de pinger ton site.

C'est à toi de voir queles types de ports tu veux voir accessibles pour les paquets ICMP et UDP, et de rajouter les règles de permission adéquates *avant* la règle terminale d'interdiction.

Bien à toi.

Jean Francois Ortolo

pascaltits
26/05/2004, 10h16
Le DROP ALL après le ACCEPT all ping.ovh .....
En fait le mettre en dernier, sinon attendu que c'est ALL iptables vas pas plus loin, l'ordre des régles à une importance on commence par autoriser et ensuite on drop.

Pascal

André
26/05/2004, 10h01
Bonjour,

Merci pour ton post.

Pour le DROP, je n'ai fais que suivre le guide HOWTO d'OVH... c'est peut être ce qui empêche OVH de PINGUER mon serveur ? Je suis allé sur le site de Netfilter pour voir si il y avait un mode d'emploi du FW, mais je n'ai pas encore mis la main dessus, mais je ne desespère pas (encore...), j'y retournerai ;-)

C'est bizarre, je n'ai rien changé ni sur le site ni sur ma config, et le site est de nouveau "online"... tous les sites qui sont sur mon dédié étaient down, maintenant ils sont tous de nouveau Ok... C'est peut être un serveur DNS quelque part qui plante ? Je passe par lequel lorsque je me connecte de la maison en ADSL Wanadoo ? par Wanadoo ? Bizarre... ce qui est aggaçant c'est de ne pas savoir d'où provenait le soucis ;-(

Merci,

André

MarcP
26/05/2004, 09h51
si j'ai bonne mémoire, vu la ou est ton DROP all -- anywhere anywhere c'est normal, il me semble qu'il faut commencer par lui, et mettre ensuite ce que tu acceptes :P

André
26/05/2004, 08h18
Bonjour,

Je viens de me rendre compte ce matin que mon serveur est down... Je ne m'en suis pas rendu compte tout de suite car depuis que j'ai mis le fire-wall en oeuvre, je reçois toutes les heures un mail d'alerte d'OVH (depuis samedi 22/05) me disant que le serveur est down alors qu'il ne l'était pas...

En ce moment :

J'ai accès au ftp de www.contactmoi.com
J'ai accès à ns30375.ovh.net sur le net
J'ai accès à PhpMyAdmin de www.contactmoi.com sans problème

Mon site www.contactmoi.com n'est plus accessible depuis un navigateur...

J'ai accès au SSH.

Par contre en tapant http://ns30375.ovh.net/~contactm/ j'arrive bien à accéder à la première page de mon site...

Voilà mes règles sur le fire-wall (et pourtant OVH n'arrive pas à pinguer mon dédié) :

[root@ns30375 iptables-1.2.9]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere tcp dpt:ftp
ACCEPT tcp -- anywhere anywhere tcp dpt:telnet
ACCEPT tcp -- anywhere anywhere tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dptop3
ACCEPT tcp -- anywhere anywhere tcp dpt:imap
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere tcp dpt:10000
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP all -- anywhere anywhere
ACCEPT all -- ping.ovh.net anywhere
ACCEPT all -- proxy.ovh.net anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@ns30375 iptables-1.2.9]#


Je ne comprends pas... je ne vois pas d'où vient mon problème...

Helppppppppppppppp

Avez vous une idée ?

Merci,

André