bonsoir la team!
j'ai un serveur Debian (version stable) qui sert de passerelle
entre mon réseau interne et l'extérieur. Il est en route en
permanence et s'installe les mises à jour de sécurité, sans
rebooter.
Sur la Freebox, une DMZ redirige les flux entrants vers mon
serveur pour ouvrir mon serveur sur l'extérieur (SSH, WEB,
VPN...).
IPTable fait le tri en entrée et assure le routage des paquets à l'extérieur et Fail2ban bannit les indésirables.
Tout cela fonctionne depuis plusieurs années sans pb malgré les changements d'opérateur et de version Debian.
Récemment, une maintenance matérielle (upgrade RAM) m'a contraint à le redémarrer après qq mois sans histoire.
Au démarrage, rien ne va plus : extérieur difficilement
joignable, NAT inopérant, DMZ HS (services non joignables depuis
l'extérieur).
Inversement, le serveur n'a plus accès à internet (ping HS)
J'ai pensé à une régression du au noyau, un redémarrage en
version 6.1.0-15 n'a rien donné.
uname -a
Linux quietty 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian
6.1.76-1 (2024-02-01) x86_64 GNU/Linux
2024-02-26T16:51:24.146290+01:00 quietty kernel: [ 1180.427493]
IPv4: martian source 192.168.1.1 from 45.155.91.29, on dev
eth1
2024-02-26T16:51:24.146322+01:00 quietty kernel: [ 1180.427508] ll
header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08
00
2024-02-26T16:51:33.478276+01:00 quietty kernel: [ 1189.762277]
IPv4: martian source 192.168.1.1 from 43.133.145.230, on
dev eth1
2024-02-26T16:51:33.478309+01:00 quietty kernel: [ 1189.762292] ll
header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08
00
2024-02-26T16:51:36.742277+01:00 quietty kernel: [ 1193.025728]
IPv4: martian source 192.168.1.1 from 179.105.36.19, on dev
eth1
2024-02-26T16:51:36.742306+01:00 quietty kernel: [ 1193.025742] ll
header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08
00
2024-02-26T16:51:49.210275+01:00 quietty kernel: [ 1205.495322]
IPv4: martian source 192.168.1.1 from 91.148.190.174, on
dev eth1
2024-02-26T16:51:49.210305+01:00 quietty kernel: [ 1205.495335] ll
header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08
00
2024-02-26T16:51:58.990298+01:00 quietty kernel: [ 1215.272829]
IPv4: martian source 192.168.1.1 from 176.111.174.29, on
dev eth1
2024-02-26T16:51:58.990328+01:00 quietty kernel: [ 1215.272841] ll
header: 00000000: 8e a8 a4 c7 35 98 70 fc 8f 5e 60 da 08
00
Je n'avais pas ça avant. Une recherche sur Internet ne m'a pas
vraiment aidé.
Quelques éléments techniques :
ip addr :
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state
UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
fq_codel state UNKNOWN group default qlen 1000
link/ether 00:50:bf:d8:b9:1f brd ff:ff:ff:ff:ff:ff
altname enp5s3
inet 192.168.2.1/24 brd 192.168.2.255 scope global eth0
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500
qdisc fq_codel state UP group default qlen 1000
link/ether 8e:a8:a4:c7:35:98 brd ff:ff:ff:ff:ff:ff
altname enp2s0
inet 192.168.1.1/24 metric 1024 brd 192.168.1.255
scope global dynamic eth1
valid_lft 42186sec preferred_lft 42186sec
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500
qdisc fq_codel state UNKNOWN group default qlen 500
link/none
inet 192.168.3.1/24 scope global tun0
valid_lft forever preferred_lft forever
configuration des interfaces :
/etc/systemd/network/eth0.network
[Match]
Name=eth0
#MACAddress=Adresse MAC de l'interface
[Link]
#MACAddress=Changer l'adresse MAC
#MTUBytes=Changer la valeur du MTU
[Network]
Address=192.168.2.1/24
Gateway=192.168.2.1
DNS=192.168.2.1 127.0.0.1
Domains=vets.in
IPv6PrivacyExtensions=false
/etc/systemd/network/eth1.network
[Match]
Name=eth1
[Network]
DHCP=ipv4
ip route
default via 192.168.2.1 dev eth0 proto static
default via 192.168.1.254 dev eth1 proto dhcp src 192.168.1.1
metric 1024
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1
metric 1024
192.168.1.1 dev eth1 proto dhcp scope host src 192.168.1.1 metric
1024
192.168.1.254 dev eth1 proto dhcp scope link src 192.168.1.1
metric 1024
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.1
192.168.3.0/24 dev tun0 proto kernel scope link src 192.168.3.1
(192.168.1.254 : Freebox)
iptables -L -v
Chain INPUT (policy DROP 582 packets, 64731 bytes)
pkts bytes target prot opt in out
source destination
30176 2346K ACCEPT all -- lo any
anywhere anywhere
3225 522K ACCEPT all -- eth0 any
anywhere anywhere
820K 1189M ACCEPT all -- any any
anywhere anywhere state
RELATED,ESTABLISHED
0 0 ACCEPT icmp -- any any
anywhere anywhere icmp any
0 0 ACCEPT igmp -- any any
anywhere anywhere
0 0 ACCEPT udp -- any any
anywhere anywhere udp dpt:discard
2 148 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:ssh
0 0 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:domain
971 67218 ACCEPT udp -- any any
anywhere anywhere udp dpt:domain
0 0 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:http
617 36708 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:https
0 0 ACCEPT udp -- any any
anywhere anywhere udp dpt:openvpn
0 0 ACCEPT tcp -- any any
anywhere anywhere tcp dpt:5000
iptables -L -t nat -v
Chain PREROUTING (policy ACCEPT 3498 packets, 319K bytes)
pkts bytes target prot opt in out
source destination
Chain INPUT (policy ACCEPT 1729 packets, 189K bytes)
pkts bytes target prot opt in out
source destination
Chain OUTPUT (policy ACCEPT 6343 packets, 520K bytes)
pkts bytes target prot opt in out
source destination
Chain POSTROUTING (policy ACCEPT 6006 packets, 509K bytes)
pkts bytes target prot opt in out
source destination
693 87361 MASQUERADE all -- any eth1
anywhere anywhere
0 0 MASQUERADE all -- any tun0
anywhere anywhere
ya du trafic sur l'interface, mais tout le monde se trourne les pouces.
Les services fonctionnent bien, j'y ai accès depuis le réseau de la Freebox (192.168.1.0) mais pas depuis l'adresse externe (qui n'a pas changé).
J'exclus un dysfonctionnement de la Freebox, elle vient d'être changé.
si vous avez des idées, je suis preneur, je ne vois pas ....
Erwann :(