Contenu | Rechercher | Menus

Annonce

Si vous rencontrez des soucis à rester connecté sur le forum (ou si vous avez perdu votre mot de passe) déconnectez-vous et reconnectez-vous depuis cette page, en cochant la case "Me connecter automatiquement lors de mes prochaines visites".
Test de l'ISO d'Ubuntu francophone : nous avons besoin de testeurs pour la version francophone d'Ubuntu 14.04. Liens et informations ici.

#1 Le 15/05/2014, à 10:40

Romu

[résolu] Souci avec UFW

Bonjour,
Je cherche à configurer UFW correctement pour mon utilisation, et j'ai quelques soucis, c'est rien de le dire. Mon server tourne avec Ubuntu Server 14.04.

Exemple de log de UFW :

May 15 10:14:49 sublime kernel: [693736.551829] [UFW BLOCK] IN=br0 OUT=br0 PHYSIN=em1 PHYSOUT=vnet2 MAC=ff:ff:ff:ff:ff:ff:a4:ba:db:b8:2c:4a:08:00 SRC=10.10.44.193 DST=10.10.44.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=14408 PROTO=UDP SPT=137 DPT=137 LEN=58

Là, on voit bien que NetBios (port 137) est bloqué, pourtant, si je sors le status de UFW, j'obtiens:

137/udp                    ALLOW       Anywhere

Et tout est comme ça. Ce serveur héberge des machines virtuelles, souvent Windows, auxquelles j'accède avec RDP (avec Remmina). Normalement, RDP utilise 2 ports TCP : 3389 et 3390. Ma config ufw est donc la suivante :

3389/tcp                   ALLOW       Anywhere
3390/tcp                   ALLOW       Anywhere

Pourtant, quand ufw est activé, impossible d'accéder à mes machines virtuelles. Truc aussi étrange, j'essaie de voir dans les log ce qui bloque, et si je lance:

cat /var/log/syslog | grep "SRC=mon-ip"

Où "mon-ip" est l'adresse de la machine depuis laquelle je lancer remmina pour accéder aux VMs, je n'ai aucune trace de log, alors que les traces de log de UFW qui tracent un blocage, j'en ai un paquet.

Merci d'avance du coup main, car là, je sèche et pas qu'un peu.

Dernière modification par Romu (Le 22/05/2014, à 14:43)

Hors ligne

#2 Le 15/05/2014, à 10:57

Brunod

Re : [résolu] Souci avec UFW

donne le retour de "cat /etc/iptables/rules.v4"
wink


Wanted : >>> un emploi dans la sécurité informatique et réseau <<<
Windows est un système d'exploitation de l'homme par l'ordinateur.
Linux, c'est le contraire ... --> état de la conversion : 36 pc linux

En ligne

#3 Le 15/05/2014, à 11:32

Romu

Re : [résolu] Souci avec UFW

Merci d'aider Brunod. Je reviendrai la semaine prochaine avec ces infos, car là, il fallait que je libère l'accès aux VMs pour mes utilisateurs, donc ufw est désactivé.

J'ai résolu le souci de mon adresse qui n'apparaissait pas, le souci était que la connexion entre ma machine et ce serveur, se faisait en IPv6. J'ai donc désactivé IPv6 partout (réseau interne, pas grave). Et la semaine prochaine, je pourrai jouer un peu plus pour diagnostiquer un peu plus précisément mon souci.

Hors ligne

#4 Le 22/05/2014, à 11:09

Romu

Re : [résolu] Souci avec UFW

Bonjour,
Je reviens avec mon souci de ufw. J'ai ajouté des règles à ufw, si je fais un "status", je les vois. Mais si je lance :

sudo cat /etc/iptables/rules.v4

j'obtiens alors : "No such file or directory". J'imagine que ce n'est pas normal. Me trompe-je ?

Hors ligne

#5 Le 22/05/2014, à 11:45

bruno

Re : [résolu] Souci avec UFW

Je pense que ton souci vient du fait que UFW n'autorise pas le trafic au travers la connexion de pont (bridge br0)

Essaie ceci :

sudo iptables -A FORWARD -i br0 -o br0 -j ACCEPT

Si cela marche, il doit y avoir un moyen de paramétrer UFW pour qu'il fasse cela automatiquement au démarrage.

EDIT : trouvé sur http://www.randomhacks.co.uk/how-to-set … on-ubuntu/ :

If you have installed a firewall on the host server (I always use UFW because it’s so easy to use) then you will need to relax the firewall to allow connections for the bridge adaptor.  To do this add the following line to /etc/ufw/before.rules, before COMMIT:

    # allow bridge networking
    -I FORWARD -m physdev –physdev-is-bridged -j ACCEPT

Dernière modification par bruno (Le 22/05/2014, à 11:47)

Hors ligne

#6 Le 22/05/2014, à 12:01

Romu

Re : [résolu] Souci avec UFW

Merci,
En fait c'est "--physdev-is-bridged", avec un bête copé/collé comme je viens de faire, l'accès SSH à mon serveur est coupé. D'ici le déjeuner, je devrais avoir à nouveau accès physiquement à la machine pour rétablier le truc.

Hors ligne

#7 Le 22/05/2014, à 14:46

Romu

Re : [résolu] Souci avec UFW

Donc ça marche, merci Bruno.

Il faut donc ajouter /etc/ufw/before.rules (tout à la fin, juste avant COMMIT)  :

 # allow bridge networking
-I FORWARD -m physdev --physdev-is-bridged -j ACCEPT

Et ça roule.

Hors ligne

Haut de page ↑