PhenIXUS

[cillor]

Bonjour à tous,

Sur un serveur en SME V7.5, j'ai voulu créer des règles de renvoi de ports à partir du server-manager.
Par exemple, je veux que les requêtes qui arrivent depuis l'extérieur du réseau via une SME V7.5 en server-gateway (IP 192.168.1.1) soient redirigé vers un autre serveur du réseau (IP 192.168.1.2).
J'ai donc créé la règle suivante avec le server-manager :

Code : Tout sélectionner

Protocole : TCP
Ports source : 27014-27050
Adresse IP de l’hôte de destination : 192.168.1.2
Ports de destination : 27014-27050
Hôte autorisé :
Commentaire sur la règle : MW

Questions :

Que faut-il renseigner dans le champ "Hôte autorisé" puisque tout le monde doit y avoir accès ? (Sur le site de Grandpa, la doc concerne la V6)

Y a t-il un fichier log qui retrace les tentatives de connexion extérieures et de renvoi ? (J'ai cherché dans /var/log/messages et il n'y a rien à ce propos)

Suite à la création de la règle j'ai trouvé ça dans le journal

Code : Tout sélectionner

Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: OLD 27014-27050=(undefined)
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: NEW 27014-27050=forward
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: OLD 27014-27050=forward
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: NEW 27014-27050=forward|DestHost|192.168.1.2
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: OLD 27014-27050=forward|DestHost|192.168.1.2
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: NEW 27014-27050=forward|DestHost|192.168.1.2|DestPort|27014-27050
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: OLD 27014-27050=forward|DestHost|192.168.1.2|DestPort|27014-27050
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: NEW 27014-27050=forward|Comment|mw|DestHost|192.168.1.2|DestPort|27014-27050
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: OLD 27014-27050=forward|Comment|mw|DestHost|192.168.1.2|DestPort|27014-27050
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: NEW 27014-27050=forward|AllowHosts||Comment|mw|DestHost|192.168.1.2|DestPort|27014-27050
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: OLD 27014-27050=forward|AllowHosts||Comment|mw|DestHost|192.168.1.2|DestPort|27014-27050
Feb 29 13:00:39 ibms336 /etc/e-smith/web/panels/manager/cgi-bin/portforwarding[9665]: /home/e-smith/db/portforward_tcp: NEW 27014-27050=forward|AllowHosts||Comment|mw|DenyHosts||DestHost|192.168.1.2|DestPort|27014-27050
 

Est-ce que "DenyHost" à la dernière ligne veut dire que la règle n'est pas bonne ?


Merci pour vos avis.

Cordialement.

Cillor.

[unnilennium]

Bonjour Cillor,

Denyhosts est une option non accessible par le manager mais permettant d'exclure des hosts de la regle ( blacklist) alors que le allowhost permet de faire une whitelist : n'autoriser que les hosts précisés.
Le manager n'est pas fait pour avoir toutes les options mais pour faciliter la vie de l'admin, si tu lui propose deux options opposées cela va être plus difficile de faire un choix s'il ne sait pas exactement ce qu'il veut, ou s'il tente de renseigner les deux ( tout sauf + rien sauf ... se transforme rapidement en personne ne passe !)

Dans ton cas les deux champs sont vides donc ne sont pas problématique.

Tu as bien décrit le problème coté SME, mais tu ne nous à pas précisé ce qui se passe du coté de l'ordinateur interne, ni ou est placé l'ordinateur qui tente d’accéder au poste forwardé, dans ton cas un schéma est essentiel pour que nous puissions t'aider ...


un exemple:
poste client ======= INTERNET ====== SME PASSERELLE ====== Poste serveur forwardé



Nous indiquer quel type de service tu cherche à forwarder pourrait aussi aider ..
[edit: orthographe ]

[cillor]

Bonjour Unnilennium,

Tu as bien décrit le problème coté SME, mais tu ne nous à pas précisé ce qui se passe du coté de l'ordinateur interne, ni ou est placé l'ordinateur qui tente d’accéder au poste forwardé, dans ton cas un schéma est essentiel pour que nous puissions t'aider ...

un exemple:
poste client ======= INTERNET ====== SME PASSERELLE ====== Poste serveur forwardé

C'est exactement ça. J'ai créé un serveur de jeux MW3 qui est dans mon LAN. je voudrai tout simplement qu'il soit accessible depuis internet. Mais tu as raison, un schéma ne nuit pas.

Nous indiquer quel type de service tu cherche à forwarder pourrait aussi aider ..

Je ne sait pas comment s'appelle ce (ou ces services), mais je sais simplement qu'il faut ouvrir les ports suivant :

TCP 3074, 27014-27050
UDP 3074, 27000-27030

En plus, pour savoir si le serveur envoi ou reçoit des requêtes par ces ports, je ne sait pas dans quel log chercher. est-ce que la SME en passerelle sait tracer ça nativement ?

Cordialement.

Cillor.

[unnilennium]

Le service a l'air de s'appeler "Call of Duty Modern Warfare 3"

normalement la procédure que tu as réalisé est la bonne.

Donc maintenant 2 questions :

arrives tu à te connecter au serveur de jeux depuis ton LAN ? et comment t'y prends tu : adresse et ports renseignés?

arrives tu à accéder au serveur de jeux depuis l'internet ( = depuis un poste situé ailleur comme au bureau ou chez un amis) et comment t'y prends tu : adresse et ports renseignés?


les logs du firewall sont dans le dossier iptables, sous SME ne sont logués que les paquets rejetés.

Code : Tout sélectionner

tail -f  /var/log/iptables/current |tai64nlocal

Donc si tu ne trouves pas de traces ici, il ne reste que 2 solutions :
1- ils ne passent pas au travers de ton serveur SME ( j'entends internet =» SME=» LAN)
2- ils passent par le serveur et sont autorisés et ré acheminés

[sibsib]

Hello,

Je ne sais pas si l'info que je vais donner est utile ! Elle m'est très souvent utile, mais j'ai quand même quelques années de dépannage réseau derrière moi, ça peut déformer la vue

Une commande sympathique de Iptables, c'est

Code : Tout sélectionner

iptables -L -v -x

Attention, lancé comme çà, çà peut sembler long !!!
Mais dans ton cas, je pense que
iptables -L -v -x | grep 3074 (par exemple) çà peut être interressant.
Chez moi par exemple,

Code : Tout sélectionner

[root@gw1 ~]# iptables -L -x -v | grep http
   26413  1479004 ACCEPT     tcp  --  any    any     anywhere             schirrms.net        tcp dpt:http
    6191   370384 ACCEPT     tcp  --  any    any     anywhere             schirrms.net        tcp dpt:https
[root@gw1 ~]# uptime
 21:59:44 up 13 days, 21:10,  1 user,  load average: 1.31, 1.50, 1.83

Donc, depuis quasi 14 jours (mon dernier reboot), il y a eu 26413 débuts de connexion sur mon port 80, pour un volume de 1 479 004 octets.

Dit comme çà, çà a peu d’intérêt. En différentiel, par contre, çà devient géant, puisque si le nombre de packet(premier nombre) ou d'octet (deuxième nombre) augmente, la règle a été utilisée.

Évidemment, il faut trouver le bon grep, et se souvenir qu'un paquet entrant passera forcément dans une règle (sur SME, et je pense sur tout firewall bien configuré, il n'y a pas de règles implicite, donc tout est visible). Donc, là, pour le coup, si aucun nombre n'augmente, on peut quasiment affirmer que rien n'est passé.

Attention : les règles iptables s'appliquent au début de l'échange. Si cet échange est validé, le reste de l'échange (le big gros, donc) tombe dans les règles genre 'related'. Donc quand même, il y a des pièges

Pour les 'peu familiarisés avec iptables', mon laius vous cause ?

A+,
Pascal

[unnilennium]

Merci SIbSib pour ces précisions utiles.

Mais avant de t'enfarger dans les fleurs du tapis ( pour emprunter une expression Québecoise) avec iptables ou même les logs, réponds juste simplement à mes deux questions, il se peut que ton problème soit tellement simple que même les logs ne soient pas nécessaires :

arrives tu à te connecter au serveur de jeux depuis ton LAN ? et comment t'y prends tu : adresse et ports renseignés?

arrives tu à accéder au serveur de jeux depuis l'internet ( = depuis un poste situé ailleur comme au bureau ou chez un amis) et comment t'y prends tu : adresse et ports renseignés?

[cillor]

Bonjour,

Le service a l'air de s'appeler "Call of Duty Modern Warfare 3"

c'est exactement ça, je vois qu'il y a des initiés.

arrives tu à te connecter au serveur de jeux depuis ton LAN ? et comment t'y prends tu : adresse et ports renseignés?

arrives tu à accéder au serveur de jeux depuis l'internet ( = depuis un poste situé ailleur comme au bureau ou chez un amis) et comment t'y prends tu : adresse et ports renseignés?

La procédure de connexion sur le LAN ou Internet est la même. Il y a un browser dans le jeu qui permet de choisir le serveur dans une liste. Seule différence, c'est pour internet, il faut que le serveur soit validé par STEAM.

iptables -L -v -x |

Finalement le fichier n'est pas trop volumineux et j'y ai trouvé cela :

Code : Tout sélectionner

Chain ForwardedTCP_20941 (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
       0        0 ACCEPT     tcp  --  any    any     anywhere             pc-00002.tontons-flingueurs.dyndns.org tcp dpts:27014:27050
       0        0 ACCEPT     tcp  --  any    any     anywhere             pc-00002.tontons-flingueurs.dyndns.org tcp dpt:3074

Chain ForwardedUDP (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
       7      301 ForwardedUDP_20941  all  --  any    any     anywhere             anywhere           
       0        0 denylog    udp  --  any    any     anywhere             anywhere           

Chain ForwardedUDP_20941 (1 references)
    pkts      bytes target     prot opt in     out     source               destination         
       7      301 ACCEPT     udp  --  any    any     anywhere             pc-00002.tontons-flingueurs.dyndns.org udp dpts:27000:27030
       0        0 ACCEPT     udp  --  any    any     anywhere             pc-00002.tontons-flingueurs.dyndns.org udp dpt:3074

Mais pourquoi ForwardedUDP_20941 et ForwardedTCP_20941 ? D'où sort ce port ?

Il ne me reste plus qu'à fouiller dans /var/log/iptables/current.


Je vous tiens au courant.

Cordialement.

Cillor.

[sibsib]

Hello,

Pour une raison je pense historique, SME gère ses règles dans des tables avec un nom pseudo aléatoire. En gros, la règle forwardUDP est relayée ver ForwardedUDP_$$ (Je crois bien que c'est $$ qui est pris, c'est à dire le n° du process courant, ou alors un nombre aléatoire).

Je ne connais pas l'intérêt, sauf à rendre la lecture de iptables -L encore un peu plus confuse

Bref, on voit que des paquets on manifestement bien étés reçus et renvoyés vers le poste de ton LAN. Voir s'il est normal de n'avoir reçu aucun paquet en TCP, par contre...

A+,
Pascal

[unnilennium]

arrives tu à te connecter au serveur de jeux depuis ton LAN ? et comment t'y prends tu : adresse et ports renseignés?

arrives tu à accéder au serveur de jeux depuis l'internet ( = depuis un poste situé ailleur comme au bureau ou chez un amis) et comment t'y prends tu : adresse et ports renseignés?

La procédure de connexion sur le LAN ou Internet est la même. Il y a un browser dans le jeu qui permet de choisir le serveur dans une liste. Seule différence, c'est pour internet, il faut que le serveur soit validé par STEAM.

Cillor,

tu ne réponds pas à ces deux questions essentielles qui sont certainement la clef de la résolution de ton problème.

Nous ne savons toujours pas quel est ton problème exacte et où il se produite. En effet je ne pense pas que le problème vienne du renvois de port ( qui est éprouvé sur SME) mais d'un simple problème de conception de son utilisation ....

Donc plutôt que de foncer dans le moteur, tu aurais gagné du temps à répondre clairement à ces deux questions que je t'ai déjà posées:

arrives tu à te connecter au serveur de jeux depuis ton LAN ? et comment t'y prends tu : adresse et ports renseignés?

OUI / NON
adresse tapée dans la recherche : (IP de la machine serveur, nom de domaine ...)
port:
affichage attendu:
affichage obtenu:

arrives tu à accéder à TON serveur de jeux depuis l'internet ( = depuis un poste situé ailleurs comme au bureau ou chez un amis) et comment t'y prends tu : adresse et ports renseignés?

OUI / NON
adresse tapée dans la recherche : (IP de la machine serveur, nom de domaine ...)
port:
affichage attendu:
affichage obtenu:

[cillor]

Bonjour,

tu ne réponds pas à ces deux questions essentielles qui sont certainement la clef de la résolution de ton problème.

Je ne peux rien répondre d'autre.
Les connexions au jeu ne se font qu'à travers le browser sans pouvoir
saisir une adresse IP ou un nom ni un port. C'est complètement
transparent pour le joueur. C'est le Master-server de STEAM qui valide
les connexions.

Donc pour que le serveur de jeu soit visible et accessible, il faut qu'il soit d'abord
enregistré et validé pas STEAM.

Mais c'est vrai que je n'ai peut-être pas été assez précis dans la rédaction de mon post initial. Donc je reformule :

Le contexte n'a pas changé, il est toujours question de positionner un serveur de jeu (MW3) en W7 dans le LAN. Le schéma plus haut ne change pas. Simplement J'ai installé W7 pro sur le serveur2. ( MW3 server n'est pas prévu pour tourner sous Linux)

1 - Je souhaite que le serveur soit visible pour les joueurs qui sont sur le LAN et pour ceux qui sont sur Internet.( le but est de jouer ensemble)

2 - pour que le serveur MW3 démarre, il faut qu'il soit enregistré Sur le Master-server de chez STEAM. Pour cela, il faut que le Master-server puisse communiquer avec le serveur de jeu sur le LAN. D'où l'ouverture des ports TCP 3074, 27014-27050 et UDP 3074, 27000-27030.

3 - Pour que les joueurs qui veulent se connecter depuis Internet puissent le faire il faut maintenir ces ports ouverts même après la procédure d'enregistrement sur le Master-server.

4 - Pour se connecter sur un serveur de jeu MW3, il est obligatoire d'être connecté sur Internet, parce que tout se passe à partir du Master-server STEAM.

Le démarrage du jeu se fait à partir d'un lien Internet. Seulement après il est possible de choisir son serveur dans une liste présentée par STEAM. Il n'est donc pas possible pour faire des tests ou de vouloir se connecter sur un serveur en tapant une adresse IP, un port ou un nom.

D'où mes questions :

Est-ce que j'ai bien forwardé les ports nécessaires à la connexion STEAM en utilisant le server-manager ?

Je sais que le serveur de jeu arrive en partie à dialoguer avec celui de STEAM, mais la procédure échoue juste après le montage le la MAP. Mais ça va beaucoup trop vite pour que je puisse lire le message STEAM qui passe. Ce qui m'amène à demander où trouver toutes les traces de dialogue entre le WAN et le LAN pour savoir ce qui coince ?


Peut-être qu'un simple sniffeur sur le réseau pourrait m'aider à voir ce qu'il s'y passe ?

J'espère que cette fois je suis un peu plus clair dans l'énoncé de mon problème. En tout cas, merci de vous y intéresser .

Bon weekend.

Cillor.