Projet

Général

Profil

Anomalie #3426

maine.chapril.org inaccessible en ssh en IPv6

Ajouté par Quentin Gibeaux il y a plus de 5 ans. Mis à jour il y a plus de 4 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Quentin Gibeaux
Catégorie:
-
Version cible:
-
Début:
07/11/2018
Echéance:
% réalisé:

0%

Temps estimé:

Description

La machine maine.chapril.org ne répond pas depuis l'extérieur en IPv6 sur le port 22 (IPv4 ok).
Coon fonctionne correctement.

Les requêtes entrent, mais pas de réponse :

## sur coon :
=(^-^)=root@coon:~# telnet -6 2a01:4f8:10b:c41:: 22
Trying 2a01:4f8:10b:c41::...

## sur maine :
=(^-^)=root@maine:~# tcpdump -n -i any port 22 and ip6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes

10:16:22.882296 IP6 2a01:4f8:10b:c42::.53024 > 2a01:4f8:10b:c41::.22: Flags [S], seq 1843221803, win 28800, options [mss 1440,sackOK,TS val 636747718 ecr 0,nop,wscale 7], length 0
10:16:23.913664 IP6 2a01:4f8:10b:c42::.53024 > 2a01:4f8:10b:c41::.22: Flags [S], seq 1843221803, win 28800, options [mss 1440,sackOK,TS val 636747976 ecr 0,nop,wscale 7], length 0
10:16:25.929640 IP6 2a01:4f8:10b:c42::.53024 > 2a01:4f8:10b:c41::.22: Flags [S], seq 1843221803, win 28800, options [mss 1440,sackOK,TS val 636748480 ecr 0,nop,wscale 7], length 0
10:16:30.025567 IP6 2a01:4f8:10b:c42::.53024 > 2a01:4f8:10b:c41::.22: Flags [S], seq 1843221803, win 28800, options [mss 1440,sackOK,TS val 636749504 ecr 0,nop,wscale 7], length 0
10:16:38.217512 IP6 2a01:4f8:10b:c42::.53024 > 2a01:4f8:10b:c41::.22: Flags [S], seq 1843221803, win 28800, options [mss 1440,sackOK,TS val 636751552 ecr 0,nop,wscale 7], length 0

Reproduit également depuis mon serveur perso.

Historique

#1

Mis à jour par Quentin Gibeaux il y a plus de 5 ans

Il semblerait que ce soit lié à la conf FIP de firehol.
J'ai décommenté la ligne qui définit la variable d'ipv4 fip sur coon pour voir (elle vient déployer toute la conf NAT ipv4 et les redirections idoines), et ça a causé l'arrêt de la réponse du port 22 vers l'ipv6 de coon.

Peut être que la porté "dst6" ici est hors sujet ?

if test -n "$fip" 
then
    interface enp0s31f6 fip_trafic dst4 $fip dst6 $myPublicIp6

        # The default policy is DROP.
        policy drop

        # Protection anti flood
        protection strong

        # Services acceptés
        server ICMP    accept
        server ICMPV6  accept

        # The following means that this machine can REQUEST anything via enp0s31f6.
        client all accept
fi
#2

Mis à jour par Quentin Gibeaux il y a plus de 5 ans

Conf firehol patché, problème résolu.

diff --git a/firehol/firehol.conf b/firehol/firehol.conf
index f6aa098..aeda360 100644
--- a/firehol/firehol.conf
+++ b/firehol/firehol.conf
@@ -71,7 +71,7 @@ interface4 virbr0 dhcp
 ################################################################################
 if test -n "$fip" 
 then
-    interface enp0s31f6 fip_trafic dst4 $fip dst6 $myPublicIp6
+    interface4 enp0s31f6 fip_trafic dst $fip

         # The default policy is DROP.
         policy drop
@@ -81,7 +81,6 @@ then

         # Services acceptés
         server ICMP    accept
-        server ICMPV6  accept

         # The following means that this machine can REQUEST anything via enp0s31f6.
         client all accept
#3

Mis à jour par Quentin Gibeaux il y a plus de 5 ans

  • Statut changé de Nouveau à Résolu
  • Assigné à mis à Quentin Gibeaux
#4

Mis à jour par Christian P. Momon il y a plus de 4 ans

  • Projet changé de Chapril à Infra Chapril
  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF