tester ses propres services réseaux

[rebus1978]

Bonjour, j'ai un petit souci :

pour tester par exemple mon serveur Web je mets d'abords son adresse local dans le navigateur :

http://ip_locale => si le site s'affiche : c'est que le service est bien démarré...

...ensuite je peux paramétrer le NAT dans le routeur et c'est OK pour tout le monde avec :

http://ip_publique
ou
http://mon nom de domaine.org =>c'est opérationnel pour tout le monde,...

...sauf pour moi : je tombe sur la page d'accueil du modem(c'est un inventel DWB 200)

Le soucis c'est que ce n'est pas pratique pour tester les différents services que l'on peut proposer.

Je viens de changer de fournisseur d'accès et de modem/routeur...
(avant avec orange et un livebox cela fonctionnait parfaitement que ce soit avec ftp, vnc, http, ssh ou autre....)

"une connection de bout en bout avec un ordinateur de mon LAN en contactant un autre ou le meme PC

en passant par mon adresse ip extérieure :cela demande de passer deux fois à travers le routeur

avec les même ip sources et destination..." avec la livebox ça fonctionnait...

Je sais qu'actuellement que ma connection ADSL est en PPPoA (over ATM) et avant c'était PPPoE (over Ethernet).

J'ai testé chez un pote qui lui est comme moi chez cegetel mais avec un modem/routeur D-link en PPPoE

et c'est identique à mon problème.

je ne sais pas si le souci provient du routeur ou autre... Merci d'avance pour votre aide

[CaSa]

Pas tout compris ton speech de fin ( ) mais je retiens du début que si tu adresse le port 80 en local tu tombes sur la page admin de ton routeur... (si j'ai bien suivi).

C'est assez logique, la plupart des routeurs administrables le sont par l'http:port 80.
Ce qui doit peut-être se passer, c'est qu'en local (LAN) tu passes (selon une règle de pare-feu déclarée de base) et tu adresses la page admin. Et que venant de l'extérieur le port 80 est naté (par tes soins) et l'administration du routeur n'est pas déclarée accessible du WAN (extérieur) c'est pour ça que l'extérieur tombe sur ta page web (ce que tu veux).

Si c'est ça le problème, il suffit de te choisir un autre port http d'administration, dans la mesure ou c'est possible avec ton routeur... généralement c'est le cas, tous les routeurs le proposent (section "administration distante" ou "remote admin" "rmgt" "remote management"..). Mets, par exemple, le port 8000 au lieu de 80. C'est d'ailleurs préférable de toujours changer les ports d'administration par défaut.

[rebus1978]

j'ai trouvé une petite parade :j'ai ajouté l'ip_de_la_machine qui héberge le sevice HTTP et le nom de domaine dans le fichier hosts !

J'ai redémarré windows et ça marche ! mais pas complètement :

le navigateur est bien dirrigé vers le pc qui héberge le service mais le navigateur n'affiche pas le page car le serveur n'écoute pas le port 80 par défault mais le port 8078. Je pense qu'on pourrai ajouter dans le fichier hosts le bon port.

Mais le truc c'est que je souhaite tester réellement si le service est accéssible pour tout le monde à partir d'internet. Et cette méthode ne me garantie pas que la configuration du modem/routeur est bonne.

Si je souhaite tester le serveur FTP par exemple, avant je mettais dans le client ftp mon nom de domaine public à la place de l'adresse et cela me permettais de savoir avec certitude que tout fonctionnait bien avant de donner les informations...

Je pense que c'est le routeur le coupable, la livebox s'ensortait bien mieux que mon routeur DWB 200 d'inventel actuel. J'ai pu tester le truc chez un pote qui possède un routeur D-Link DSL-G604T et il ne fonctionne pas non plus.

Domage que la livebox ne me permet pas de me connecter avec les identifiants cegetel même en réglant bien les paramètre PPPoA_8_35.

J'ai appris que le hic serai que le routeur ne gère pas le loopback. J'aimerai savoir quel routeur me conviendrai...

Je vai essayer de changer le port d'écoute du démon httpd du routeur (il faudra peut-être le faire par un bon vieux telnet....


et encore merci pour votre aide...

[w0lverine]

Salut,

Je n'ai pas tout compris, mais j'avais un problème similaire : Accéder à mon FTP sous une redirection dynamique à partir de mon PC. J'ai trouvé une solution assez bête mais qui fonctionnait : Un proxy.

Désolé si je suis hors-sujet (il est tard).

[rebus1978]

J'ai lancé une connection telnet sur le modem !

Voici les fichiers de configuration du modem/routeur :



J'ai affiché le contenu de tous ces fichiers; je n'ai pas trouvé le bon fichier de configuration...alors pour changer le port d'écoute du deamon web je suis perdu... . Si quelqu'un aurai une idée

Pour le serveur proxy j'ai déjà Ipcop même si il me sert plus de firewall que de proxy. En réalité je ne connais encore pas toutes ses possibilités.

[CaSa]

Oula, ca part un peu dans tous les sens ton problème là... faudrait déjà qu'on y voit plus clair dans ta config car je croyais que tu avais simplement un PC et un modem/routeur hard, et là tu parles :
- "du Pc qui héberge le service" ... ca signifie que ce n'est pas ton PC qui héberge le service ? tu as plusieurs Pc sur un LAN ?
- du routeur qui serait sous linux ... c'est un PC à part ou c'est les fichiers d'un mini-système Linux embarqué sur un routeur ?
- d'Ipcop... alors là c'est encore autre chose puisque Ipcop tourne sur un PC à part et doit faire office de passerelle sécurisée et/ou routeur.

Donc on comprend plus rien. Fais-nous un schéma, ça ira plus vite...

Et, en vrac :
- le fichier hosts ne sert qu'à résoudre des noms netbios... ça ne change rien (et ne fait aucune différence) de le renseigner si tu adresses le serveur avec son IP (ou locale en local, ou publique)
- tu parles d'un port d'écoute à 8078... faut l'avoir mis manuellement je pense parce que ce n'est pas un port standard. Sur un serveur IIS, c'est dans les paramètres du service que ca se change. Sur un serveur Apache, c'est dans le fichier httpd.conf : tu dois avoir une ligne notée "port 80" ou "port 8078"... faut la changer.
- Tu parles de changer le port d'écoute du "démon web" sur le routeur ? Mais il n'y a pas de démon web je pense, le routeur doit juste faire son boulot de redirection de port, c'est tout. C'est sur la machine qui héberge le serveur web qu'il faut changer qqchose.
- pour adresser un serveur en port 8078, il suffit de mettre le port à la fin de l'url, c'est tout. Ex : http://monsite.mapage adresse le port 80, mais si tu mets http://monsite.mapage:8078 tu adresses le bon port.

[rebus1978]

voici un beau shéma de mon LAN :



Et voici la configuration NAT du routeur


j'ai activé la dmz pour des tests : je n'arrive pas pour le moment à faire fonctionner le serveur FTP sauf si je le mets directement derrière le routeur et avec la dmz de configurée pour lui. Les règles NAT pour le serveur ftp ne suffisent pas à elles toutes seules.

et voici la configuration des translations de ports d'ipcop :

http://anciennnes.site.voila.fr/rebus/ipcop.JPG

Tous les services comme http, vnc, la mule et l'accès en SSH à ipcop fonctionnent mais uniquement de l'extérieur. Ce que je ne comprends pas c'est que la semaine dernière, avec l'ADSL d'orange et la livebox je pouvais accéder à tous ces services depuis un pc directement derrière la livebox et avec soit mon ip publique ou je vais vous le donner ,mon nom de domaine : http://rebus.homelinux.org

Cegetel vient de me monter l'adsl depuis moins d'une semaine, mais si je n'arrive pas à trouver une solution, je pense résilier chez Cegetel et rebrancher la livebox...

Voici le fichier de configuration de vsftpd :



Puis pour terminer un petit netstat lorsqu'un client est connecté au ftp via le LAN. ici on peut voir que la connection en local n'utilise pas de ports spécifiés dans vsftpd.conf ; de plus, j'ai remarqué que cette valeur change dynamiquement à chaque connection; c'est pourquoi il est difficile de régler le NAT...
http://anciennnes.site.voila.fr/rebus/netstat_.JPG

Alors bonne lecture et merci d'avances pour vos remarques...

** Mets des liens vers les images quand celles-ci sont trop grandes, elles déforment la page. Merci. **

[CaSa]

Alors, on va reprendre doucement.... :
1 - joli schéma et jolie config
2 - normalement, IPCOP fait office de routeur/pare-feu... tu ne devrais donc pas avoir à paramétrer de redirections de ports sur ton modem. Une DMZ vers ton IPCOP devrait effectivement suffire.
3 - avec ton exemple de connection telnet, à mon avis tu n'arrives pas sur ton modem mais sur ton IPCOP ce sont les fichiers de config de l'IPCOP je pense
4 - pour le site, de l'extérieur on y accède effectivement (j'y arrive ). De l'intérieur, il faut taper ton IP:port (192.168.75.18:8078) puisque tu écoutes la dessus. Le fait que toi en tapant rebus.homelinux.org tu arrives sur la page de config du modem, c'est lié je pense à ce que je t'ai déjà dit : ton administration du routeur (LAN <=> Routeur/LAN) doit être à l'écoute sur le 80. Si tu changes ça pour tout autre chose, j'émet l'hypothèse que ta requête sortira de ton routeur vers dyndns et reviendra en ip publique vers ton site... Donc changes ton port d'admin sur ton routeur.
A ce propos, ça devient un peu compliqué de superposer l'IPCOP avec ton routeur car tous deux ont sont administrables sur des ports standards http, ssh, ftp... donc il faut remettre ça à plat et changer tous les ports d'admin pour que ça n'interfère pas avec ta gestion.
5 - pour le ftp, il y a 2 choses. la première concernant ton port (netstat) est logique car c'est du ftp actif... le port est choisi au hasard. La deuxième c'est les ports que tu mets dans ton fichier vsftpd : ce sont des ports d'entrée du mode passif, il est normal que ça ne corresponde pas avec ton netstat car en local tu as lancé une connection "active".
Donc, la solution de base c'est de faire des connections en mode passif et de rediriger les ports 11000 à 11999 vers ton serveur. Par contre se pose le problème de donner l'IP publique de ton serveur : l'IP qui est dans ton fichier de config (84.4.169.41) n'est pas toujours la même... il faut trouver un paramètre permettant de la récupérer dynamiquement et je sais pas si c'est possible avec vftp.
Je ne connais pas le logiciel, si tu n'arrives pas à le faire fonctionner je pourrai chercher mieux mais il faudra plus de temps.

Humm.... je crois que c'est tout dans un 1er temps. J'ai tapé le post en 3 H alors je sais plus trop là...

[rebus1978]

pour accèder à mon serveur web en local je fais:

http://192.168.75.18:8078

pas de soucis, je l'ai fait juste apres avoir changer le port d'écoute 80=>8078

ensuite je me suis occupé du NAT...etc... Ce que je n'arrive pas à comprendre c'est qu'avant avec la livebox, je pouvais terter jusqu'à l'ip_publique et ensuite le nom dyndns.

Je viens de changer de FAI . Actuellement je suis chez cegetel avec un modem/routeur Invetel DWB200. La livebox n'est apparemment pas compatible avec cegetel car lorsque je renseigne les bon identifiants, elle est synchronisée mais non connectée.

Pour administrer le modem inventel en telnet, je suis sur d'avoir été sur le routeur car 192.168.248.1 chez moi c'est le modem et ipcop lui c'est 192.168.248.2. De plus, il faut d'abord activer le deamon telnet via http et le login était root et MDP: InvenTel

Je suis en train de bouquiner une grosse doc sur IPTABLES le firewall intégré au noyau linux ; peut etre une piste... Même si je pense déjà à résilier l'ADSL MAX de cegetel car le serveice technique est incompétent : la ligne est actuellement en cours de montage et non terminée : il disent que si internet ne fonctionne pas correctement, je dois patienter 15 jours et ils m'ont même dit que je surfais peu etre sur un contenu virtuel ( ) enfin bref...

Merci pour l'info sur les ports passif du server ftp, si j'ai bien compris, soit le serveur tourne en mode passif et utilise uniquement les port spécifiés soit il tourne en mode actif et choisi lui-meme de façon aléatoire des ports.
Alors pour accèder au ftp derrière un routeur, il vaut mieux paramétrer son serveur ftp en passif pour connaitre les ports à régler dans le NAT.

Merci encore pour votre aide.

[CaSa]

Pour administrer le modem inventel en telnet, je suis sur d'avoir été sur le routeur car 192.168.248.1 chez moi c'est le modem et ipcop lui c'est 192.168.248.2. De plus, il faut d'abord activer le deamon telnet via http et le login était root et MDP: InvenTel

Ha oki oki... autant pour moi alors... j'ai vu du Tux et j'ai pensé à l'IPCOP.

Je suis en train de bouquiner une grosse doc sur IPTABLES le firewall intégré au noyau linux ; peut etre une piste...

Sauf culture personnelle, c'est inutile car l'IPCOP gère justement les règles iptables avec une interface graphique... donc ça n'apporte rien sauf à savoir comment ça fonctionne (et pour m'y être déjà intéressé, c'est chaud )

Merci pour l'info sur les ports passif du server ftp, si j'ai bien compris, soit le serveur tourne en mode passif et utilise uniquement les port spécifiés soit il tourne en mode actif et choisi lui-meme de façon aléatoire des ports. Alors pour accèder au ftp derrière un routeur, il vaut mieux paramétrer son serveur ftp en passif pour connaitre les ports à régler dans le NAT

En gros oui, c'est ça... après c'est plus compliqué selon l'architecture qu'on a. Et la tienne est pas mal sur ce point.
Les 2 modes ont des avantages et des inconvénients.

L'avantage du passif est que n'importe quel client arrivera à se connecter puisque c'est lui qui fera les connections. Par contre c'est pénible de paramétrer cette histoire d'ip publique pour le serveur en mode PASSV.
Pour l'exemple, sous XP avec "filezilla serveur", le serveur récupère lui-même son adresse publique à l'aide d'une l'url simple de type whatismyip.com.
Pour vsftpd, j'ai un peu cherché et j'ai trouvé un gars qui a fait un script pour mettre à jour le fichier de config en temps réèl.
Voici le script :

Code: Tout sélectionner

#!/bin/bash
#
# Ce script permet de mettre à jour le paramètre pasv_address de
# /etc/vsftpd.conf.
#
VSFTPD_CONF=/etc/vsftpd.conf
FICHIER_TEMPORAIRE=/tmp/vsftpd.conf.tmp
COMMANDE_MAJ="/etc/init.d/vsftpd reload"

# Copie de vsftpd.conf sans la ligne contenant pasv_address
cat $VSFTPD_CONF | grep -v pasv_address > $FICHIER_TEMPORAIRE

# Recherche de l'IP publique. Ici on utilise dyndns.org
IP_PUBLIQUE=`echo `curl -s checkip.dyndns.org` | cut -f 6 -d " " | cut -f 1 -d "<"`

# Ajout de la ligne contenant le paramètre pasv_address au fichier temporaire
echo "# pasv_address : modifié par script `date`" >> $FICHIER_TEMPORAIRE
echo "pasv_address=$IP_PUBLIQUE" >> $FICHIER_TEMPORAIRE

# Copie du fichier temporaire vers vsftpd.conf
cp -f $FICHIER_TEMPORAIRE $VSFTPD_CONF

# Mise à jour du serveur
$COMMANDE_MAJ

# Effacement du fichier temporaire
rm -f $FICHIER_TEMPORAIRE

Faut le faire tourner en root, le plus souvent possible. Ca permet d'avoir toujours le bon paramètre d'ip publique dans le fichier de config. Après, il te suffit d'ouvrir (et rediriger) les ports de passv et c'est bon. Par contre (bien entendu) il faut dire à tes clients de se connecter en mode passif, ce qui n'est pas le mode par défaut.

edit : tu trouveras pleins de tutos et d'explication sur le ftp par google.. notamment je tombe sur ceci => http://www.linux-nantes.org/spip.php?article80 qui explique qu'avec proftd (au lieu de vsftpd) tu peux mettre directement une url dyndns dans le fichier de config au lieu d'une IP. Par contre il faut le lancer avec inetd (à chaque demande de connection) pour qu'il se mette à jour. Peut-etre devrais-tu tester cette méthode (inetd) avec vsftd.

[rebus1978]

Trop bon
Je vai tout de suite tester tout ça

[J@ck]

Je le note et je vous félicite... Merci, il y a plus qu'a essayer de faire pareil... lol

Bonne année

[rebus1978]

bonjour,

Le script fonctionne très bien, mais bizarrement j'ai remarqué qu'on pouvait accèder à mon site ftp meme si cette addresse publique n'était pas correcte...


Par contre, j'aimerais activer la fonction Loopback du modem... Seulement je ne sais pas comment l'activer :(

Mon modem actuel est un Inventel DWB-200 .Si quelqu'un aurai une idée...
Merci d'avance.

[CaSa]

Le script fonctionne très bien, mais bizarrement j'ai remarqué qu'on pouvait accèder à mon site ftp meme si cette addresse publique n'était pas correcte...

Surement en mode actif alors, le mode par défaut, pas en mode passif (le mode pour lequel ce script est utile)...
En mode actif, le serveur ne renvoit pas son adresse IP publique au client. A contrario, c'est lui (le serveur) qui se sert de l'adresse IP publique du client pour le contact et l'envoi du fichier.

Souvent le mode actif pose problème quand on a des ponts de routage non maitrisés, à savoir que l'adresse IP du client n'est pas transmise jusqu'au serveur à travers le matériel (ton routeur, IPCOP, etc..). Visiblement, ce n'est pas ton cas et ça fonctionne bien..

[rebus1978]

Bonjour

Merci de votre aide et votre soutien moral.

Je ne peux pas accèder à mon serveur Web avec l'ip Wan ou le nom de domaine dyndns depuis mon lan : je tombe sur la page d'accueil du modem.

Il faudrai activer le loopback, mais je n'ai rien trouvé pour mon modem l'Inventel DWB200.

merci encore à tous !