Re: Pb routage NAT suite update/reboot

Thu, 29 Feb 2024 10:44:20 -0800 

bonsoir
Merci à vous deux pour le debug ; le pb venait bien de la passerelle déclarée au niveau eth0. 


Je ne comprends pas comment ça fonctionnait avant, j'en déduis que cette 
config n'était pas active.


amitiés

Le 26/02/2024 à 18:11, Erwann Le Bras a écrit :


bonsoir la team!


j'ai un serveur Debian (version stable) qui sert de passerelle entre 
mon réseau interne et l'extérieur. Il est en route en permanence et 
s'installe les mises à jour de sécurité, sans rebooter.


  * eth0 est l'interface interne, IP statique.
  * eth1 est l'interface externe,connectée à une Freebox qui lui donne
    l'IP.
  * tun0 est l'interface VPN


Sur la Freebox, une DMZ redirige les flux entrants vers mon serveur 
pour ouvrir mon serveur sur l'extérieur (SSH, WEB, VPN...).



IPTable fait le tri en entrée et assure le routage des paquets à 
l'extérieur et Fail2ban bannit les indésirables.



Tout cela fonctionne depuis plusieurs années sans pb malgré les 
changements d'opérateur et de version Debian.




Récemment, une maintenance matérielle (upgrade RAM) m'a contraint à le 
redémarrer après qq mois sans histoire.



Au démarrage, rien ne va plus : extérieur difficilement joignable, NAT 
inopérant, DMZ HS (services non joignables depuis l'extérieur).


Inversement, le serveur n'a plus accès à internet (ping HS)


J'ai pensé à une régression du au noyau, un redémarrage  en version 
6.1.0-15 n'a rien donné.


uname -a

Linux quietty 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.76-1 
(2024-02-01) x86_64 GNU/Linux




J'ai trouvé des IP martiennes dans la syslog, je ne sais pas si c'est 
lié :



2024-02-26T16:51:24.146290+01:00 quietty kernel: [ 1180.427493] IPv4: 
martian source *192.168.1.1* from 45.155.91.29, on dev *eth1*
2024-02-26T16:51:24.146322+01:00 quietty kernel: [ 1180.427508] ll 
header: 00000000: *8e a8 a4 c7 35 98* 70 fc 8f 5e 60 da 08 00
2024-02-26T16:51:33.478276+01:00 quietty kernel: [ 1189.762277] IPv4: 
martian source *192.168.1.1* from 43.133.145.230, on dev *eth1*
2024-02-26T16:51:33.478309+01:00 quietty kernel: [ 1189.762292] ll 
header: 00000000: *8e a8 a4 c7 35 98* 70 fc 8f 5e 60 da 08 00
2024-02-26T16:51:36.742277+01:00 quietty kernel: [ 1193.025728] IPv4: 
martian source 1*92.168.1.1* from 179.105.36.19, on dev *eth1*
2024-02-26T16:51:36.742306+01:00 quietty kernel: [ 1193.025742] ll 
header: 00000000: *8e a8 a4 c7 35 98 *70 fc 8f 5e 60 da 08 00
2024-02-26T16:51:49.210275+01:00 quietty kernel: [ 1205.495322] IPv4: 
martian source *192.168.1.1* from 91.148.190.174, on dev *eth1*
2024-02-26T16:51:49.210305+01:00 quietty kernel: [ 1205.495335] ll 
header: 00000000: *8e a8 a4 c7 35 98* 70 fc 8f 5e 60 da 08 00
2024-02-26T16:51:58.990298+01:00 quietty kernel: [ 1215.272829] IPv4: 
martian source *192.168.1.1* from 176.111.174.29, on dev *eth1*
2024-02-26T16:51:58.990328+01:00 quietty kernel: [ 1215.272841] ll 
header: 00000000: *8e a8 a4 c7 35 9*8 70 fc 8f 5e 60 da 08 00



Je n'avais pas ça avant. Une recherche sur Internet ne m'a pas 
vraiment aidé.



Quelques éléments techniques :

* ip addr :*

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
group default qlen 1000

    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel 
state UNKNOWN group default qlen 1000

    link/ether 00:50:bf:d8:b9:1f brd ff:ff:ff:ff:ff:ff
    altname enp5s3
    inet 192.168.2.1/24 brd 192.168.2.255 scope global eth0
       valid_lft forever preferred_lft forever

3: *eth1*: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel 
state UP group default qlen 1000

    link/ether *8e:a8:a4:c7:35:98* brd ff:ff:ff:ff:ff:ff




    altname enp2s0

    inet *192.168.1.1*/24 metric 1024 brd 192.168.1.255 scope global 
dynamic eth1

       valid_lft 42186sec preferred_lft 42186sec

4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc 
fq_codel state UNKNOWN group default qlen 500

    link/none
    inet 192.168.3.1/24 scope global tun0
       valid_lft forever preferred_lft forever


*configuration des interfaces :*

/etc/systemd/network/eth0.network
[Match]
Name=eth0
#MACAddress=Adresse MAC de l'interface

[Link]
#MACAddress=Changer l'adresse MAC
#MTUBytes=Changer la valeur du MTU

[Network]
Address=192.168.2.1/24
Gateway=192.168.2.1
DNS=192.168.2.1 127.0.0.1
Domains=vets.in
IPv6PrivacyExtensions=false


/etc/systemd/network/eth1.network

[Match]
Name=*eth1*

[Network]
DHCP=*ipv4*

*ip route*
default via 192.168.2.1 dev eth0 proto static
default via 192.168.1.254 dev eth1 proto dhcp src 192.168.1.1 metric 1024

192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1 metric 
1024

192.168.1.1 dev eth1 proto dhcp scope host src 192.168.1.1 metric 1024
192.168.1.254 dev eth1 proto dhcp scope link src 192.168.1.1 metric 1024
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.1
192.168.3.0/24 dev tun0 proto kernel scope link src 192.168.3.1

(192.168.1.254 : Freebox)


*iptables -L -v*
Chain INPUT (policy DROP 582 packets, 64731 bytes)

 pkts bytes target     prot opt in     out source               
destination

30176 2346K ACCEPT     all  --  lo     any anywhere             anywhere
 3225  522K ACCEPT     all  --  eth0   any anywhere             anywhere

 820K 1189M ACCEPT     all  --  any    any anywhere             
anywhere             state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  any    any anywhere             
anywhere             icmp any

    0     0 ACCEPT     igmp --  any    any anywhere             anywhere

    0     0 ACCEPT     udp  --  any    any anywhere             
anywhere             udp dpt:discard
    2   148 ACCEPT     tcp  --  any    any anywhere             
anywhere             tcp dpt:ssh
    0     0 ACCEPT     tcp  --  any    any anywhere             
anywhere             tcp dpt:domain
  971 67218 ACCEPT     udp  --  any    any anywhere             
anywhere             udp dpt:domain
    0     0 ACCEPT     tcp  --  any    any anywhere             
anywhere             tcp dpt:http
  617 36708 ACCEPT     tcp  --  any    any anywhere             
anywhere             tcp dpt:https
    0     0 ACCEPT     udp  --  any    any anywhere             
anywhere             udp dpt:openvpn
    0     0 ACCEPT     tcp  --  any    any anywhere             
anywhere             tcp dpt:5000



*iptables -L -t nat -v*
Chain PREROUTING (policy ACCEPT 3498 packets, 319K bytes)

 pkts bytes target     prot opt in     out source               
destination


Chain INPUT (policy ACCEPT 1729 packets, 189K bytes)

 pkts bytes target     prot opt in     out source               
destination


Chain OUTPUT (policy ACCEPT 6343 packets, 520K bytes)

 pkts bytes target     prot opt in     out source               
destination


Chain POSTROUTING (policy ACCEPT 6006 packets, 509K bytes)

 pkts bytes target     prot opt in     out source               
destination
*  693 87361 MASQUERADE  all  --  any    eth1 anywhere             
anywhere *
    0     0 MASQUERADE  all  --  any    tun0 anywhere             
anywhere


ya du trafic sur l'interface, mais tout le monde se trourne les pouces.



Les services fonctionnent bien, j'y ai accès depuis le réseau de la 
Freebox (192.168.1.0) mais pas depuis l'adresse externe (qui n'a pas 
changé).


J'exclus un dysfonctionnement de la Freebox, elle vient d'être changé.


si vous avez des idées, je suis preneur, je ne vois pas ....

Erwann :(






















					Répondre à