Ubuntu-fr

camexin

Problème Iptables

Bonjour,

Après avoir cherché sans trouver, je pose la question ici.

J'ai la configuration suivante :

https://cloud.camexin.fr/index.php/s/aiLywYc5DCubBoZ

Mon serveur applicatif web est un service Guacamole (192.168.1.20).
Mon Reverse proxy a l'IP 172.16.10.252.

Le serveur Guacamole accède bien à Internet et les flux Firewall sont ouverts entre le reverse proxy et Guacamole.

Or, dans la log Iptables, j'ai ceci :

Nov 29 23:45:00 srvlinfra1 kernel: [85876.756397] RULE 30 --[color=#ed1109] DENY[/color] IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=45278 DF PROTO=TCP SPT=49701 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:00 srvlinfra1 kernel: [85876.756461] RULE 7 -- ACCEPT IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=2450 DF PROTO=TCP SPT=49710 DPT=8080 WINDOW=29200 RES=0x00 SYN URGP=0
Nov 29 23:45:00 srvlinfra1 kernel: [85876.956635] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=45279 DF PROTO=TCP SPT=49701 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:00 srvlinfra1 kernel: [85877.160649] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=45280 DF PROTO=TCP SPT=49701 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:00 srvlinfra1 kernel: [85877.168435] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=5155 DF PROTO=TCP SPT=49706 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:00 srvlinfra1 kernel: [85877.168506] RULE 7 -- ACCEPT IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=27841 DF PROTO=TCP SPT=49711 DPT=8080 WINDOW=29200 RES=0x00 SYN URGP=0
Nov 29 23:45:00 srvlinfra1 kernel: [85877.368740] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=5156 DF PROTO=TCP SPT=49706 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:00 srvlinfra1 kernel: [85877.568895] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=45281 DF PROTO=TCP SPT=49701 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:00 srvlinfra1 kernel: [85877.572832] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=5157 DF PROTO=TCP SPT=49706 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:01 srvlinfra1 kernel: [85877.981139] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=5158 DF PROTO=TCP SPT=49706 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:01 srvlinfra1 kernel: [85878.385323] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=45282 DF PROTO=TCP SPT=49701 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:02 srvlinfra1 kernel: [85878.797524] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=5159 DF PROTO=TCP SPT=49706 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:03 srvlinfra1 kernel: [85880.022124] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=45283 DF PROTO=TCP SPT=49701 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0
Nov 29 23:45:03 srvlinfra1 kernel: [85880.434268] RULE 30 -- DENY IN=eth1 OUT=eth2 MAC=00:0c:29:40:b4:0a:00:0c:29:99:1f:38:08:00 SRC=172.16.10.252 DST=192.168.1.20 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=5160 DF PROTO=TCP SPT=49706 DPT=8080 WINDOW=545 RES=0x00 ACK FIN URGP=0

J'ai donc :
- l'apparition de la mire Guacamole (le premier ACCEPT)
- puis rien ne fonctionne (les DENY suivants)

Les source et destination sont les mêmes.
La seule différence est la taille de la variable WINDOW : 29200 pour le seul ACCEPT et 545 pour les DENY.

Qu'est ce que ce compteur ?
Pourquoi cette différence ?

Quelqu'un s'est-il trouvé dans ce cas ?

Merci de votre aide
François

Modération : merci à l'avenir d'utiliser les balises code (explications ici).

Dernière modification par cqfd93 (Le 30/11/2015, à 11:48)