1 votes

akiller avatar

Le transfert de port ne fonctionne plus (sauf vers un serveur).

Demandé el 15 de Mai, 2011
Quand la question a-t-elle été
613 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis assez désemparé avec ça, j'ai fait des heures de bricolage sans succès - je sais qu'il y a quelque chose de stupide que j'ai manqué.

Dans notre ancien bureau, nous disposons d'un routeur Netgear DG834PN qui a plusieurs transferts de port configurés - plusieurs vers une machine Server 2003 qui y fonctionne et quelques-uns vers une machine NAS de secours.

Tout cela fonctionnait bien jusqu'à l'autre semaine. J'ai installé un serveur DHCP sur le serveur 2003, mais je l'ai depuis désactivé/arrêté, donc il ne devrait plus rien faire. Tout a été redémarré depuis.

Les transferts de port fonctionnent bien vers le serveur du bureau mais ne fonctionnent pas vers les autres machines. . J'ai même essayé de rediriger le port 80 de Server 2003 (qui fonctionne bien) vers une autre machine (qui a le port 80 ouvert) et cela échoue toujours - j'ai confirmé cela en essayant de me connecter depuis plusieurs endroits extérieurs.

Depuis le réseau ou via un bureau à distance vers le serveur, je peux accéder à tout, et si je me connecte au serveur via un VPN, je peux accéder à tout (en contournant la NAT dans les deux cas, je suppose).

En se connectant au routeur par SSH ou en regardant ses journaux dans l'administration web, tout semble correct, la connexion se fait vers la bonne IP, le bon port, et les clients ne devraient pas bloquer la connexion (ils ne le faisaient pas avant, et je ne vois rien non plus dans leurs journaux) mais la connexion ne se fait jamais. J'ai essayé de tester avec des navigateurs web, FileZilla et telnet.

Voici un journal du routeur lorsque j'essaie de me connecter à une règle de transfert de port qui fonctionne vers le serveur 2003 (HTTP) et à une règle de transfert de port qui ne fonctionne pas vers le NAS de secours (FTP, fonctionnant sur le port 2121 - mais les ports/protocoles ne semblent pas pertinents) :

// server 2003, works
Sun, 2011-05-15 00:22:04 - TCP Packet - Source:88.110.x.x,32444 Destination:192.168.0.7,80 - [HTTP match]
// NAS machine, fails (2121 is the correct port)
Sun, 2011-05-15 00:21:41 - TCP Packet - Source:88.110.x.x,32443 Destination:192.168.0.90,2121 - [FTP_NAS match]

Voici les entrées dans iptables du routeur (elles ont été configurées avec l'interface web) pour le port 2121 (j'ai remplacé notre vrai nom de domaine par exemple.co.uk) :

# iptables --list | grep :2121
LOG        tcp  --  anywhere             anywhere           state NEW tcp dpt:2121 LOG level warning prefix `[FTP_NAS match]'
ACCEPT     tcp  --  anywhere             nas.ads1.example.co.uktcp dpt:2121

Quelqu'un a-t-il d'autres idées ? Merci d'avance !

Demandé el 15 de Mai, 2011 par akiller

Réponses

Trop de publicités?

2voto

the-wabbit avatar
the-wabbit Points 40039

Vos routes par défaut sur les hôtes en question passent-elles toujours par le DG834 ? Si vous avez manipulé le DHCP, vous avez pu le modifier.

En dehors de cela, je vous suggère d'utiliser un renifleur de protocole comme Wireshark pour vérifier si a) vos requêtes sont correctement transmises aux hôtes b) les requêtes déclenchent des réponses c) les réponses sont dirigées vers l'adresse MAC du DG834.

Si tout cela s'applique, vous aurez probablement mis en place une sorte de filtrage qui empêchera votre trafic sortant de passer.

Répondu el 16 de Mai, 2011 par the-wabbit (40039 Points )

0 votes

Avatar de akiller

J'avais à l'origine utilisé Wireshark et je pouvais voir les requêtes ARP de qui a 192.168.0.90 Tell 192.168.0.7 (192.168.0.90 = NAS, 192.168.0.7 = Server 2003) ce qui était le cas lorsque j'ai désactivé le serveur DHCP. Depuis lors, je ne vois rien d'intéressant à part quelques personnes qui ont 192.168.0.90 Tell 192.168.0.1 (le routeur Netgear) et la diffusion bizarre du NAS vers tout le réseau. Je suppose que je dois être capable d'exécuter Wireshark sur le routeur pour en tirer le maximum d'informations ?

Commenté el 16 de Mai, 2011 par akiller

1 votes

Avatar de the-wabbit

Non, il suffirait de lancer wireshark sur un hôte où la redirection de port ne fonctionne pas. Il suffit de le démarrer, d'essayer une connexion à un port transféré et de regarder le paquet TCP SYN arriver à l'hôte de destination et générer une réponse SYN/ACK. Le routeur ne prend probablement pas en charge la capture de paquets, à moins que vous ne remplaciez le micrologiciel par un projet ouvert comme OpenWRT.

Commenté el 17 de Mai, 2011 par the-wabbit

0 votes

Avatar de akiller

Je n'ai peut-être pas compris ce que vous voulez que je fasse, mais à partir de mon ordinateur personnel, si je regarde Wireshark lorsque j'essaie de me connecter à des ports cassés, je peux voir des demandes SYN mais pas d'ACK. Si je me connecte à un port qui fonctionne, je vois des SYN/ACK (et telnet se connecte). Je suis sérieusement tenté d'y coller le firmware DGTeam (je l'utilise sur mon routeur domestique et cela fonctionne bien).

Commenté el 17 de Mai, 2011 par akiller
Afficher 4 autres commentaires

0voto

user48838 avatar
user48838 Points 7385

"Depuis l'intérieur du réseau ou via un bureau à distance vers le serveur, je peux accéder à tout, si je me connecte par VPN au serveur, je peux accéder à tout (les deux contournant le NAT, je présume)."

Vous pourriez examiner de plus près les règles du pare-feu de chaque serveur pour vous assurer qu'il n'y a rien qui limite l'accès aux seules adresses internes. Un coup d'œil à votre serveur de travail peut également permettre de vérifier comment l'accès externe est normalement enregistré (adresse(s) interne(s) et externe(s)).

Répondu el 16 de Mai, 2011 par user48838 (7385 Points )

0 votes

Avatar de akiller

Merci pour votre réponse. Tout est connecté directement au routeur et ne passe pas du tout par Server 2003 (cela facilite le retrait du serveur vers un autre emplacement si nécessaire). J'ai ajouté une règle de transfert de port à RRAS juste pour voir si cela fonctionnait, mais ce n'est pas le cas.

Commenté el 16 de Mai, 2011 par akiller

0voto

akiller avatar
akiller Points 113

Corrigé ! Comme je sais combien c'est ennuyeux quand quelqu'un ne laisse pas de réponse, je vais expliquer ce que j'ai fait.

Il semble que ce qui s'est passé, c'est que sur le boîtier de sauvegarde (un ReadyNAS de Netgear), il a perdu ses paramètres de passerelle, ce qui doit signifier qu'il s'est embrouillé et n'a pas pu acheminer les données vers les hôtes distants (mais n'a eu aucun problème à le faire en interne).

J'ai commencé à avoir des doutes lorsque j'ai pu envoyer un ping à des sites internes à partir du NAS, mais lorsque j'ai essayé d'envoyer un ping à un site externe, j'ai obtenu une erreur :

NAS:~# ping www.google.com
connect: Network is unreachable

J'ai un accès SSH à la boîte donc quand j'ai lancé :

route -nee

J'obtiendrais la réponse suivante :

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface    MSS   Window irtt
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0     0     0      0

En cherchant sur Google des informations à ce sujet, j'ai lu quelque part qu'il devrait y avoir une entrée pour mapper l'adresse de la passerelle 0.0.0.0 au routeur.

Une fois que j'ai ajouté l'IP de la passerelle au NAS, j'ai obtenu le résultat suivant :

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface    MSS   Window irtt
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0     0     0      0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0     0     0      0

Le résultat est que l'on peut faire un ping depuis le NAS et que le transfert de port fonctionne immédiatement.

Je suppose que cela a dû se produire pour les autres hôtes vers lesquels j'ai essayé d'effectuer un transfert de port.

Merci à tous pour votre aide, elle m'a orienté dans la bonne direction.

Répondu el 17 de Mai, 2011 par akiller (113 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X