Host is up (0.00035s latency).
PORT STATE SERVICE
22/tcp open ssh
80/tcp filtered http
161/tcp filtered snmp
162/tcp filtered snmptrap
443/tcp filtered https
5000/tcp filtered upnp
Mais bon, sang, le FW de l’hôte laisse bien passer ça (j’ai même essayé d’arrêter shorewall et de mettre les policies à ACCEPT, rien à faire, et puis quand j’ai des DROP je les vois… je ne peux pas me connecter de mon hôte vers mon invité, en dehors de SSSH ?!
Il va sans dire qu’il n’y a pas de règles iptables sur l’invité en question et un netstat montre que ce qui doit écouter écoute :
# netstat -atupn -4
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat PID/Program name
tcp 0 0 192.168.122.200:5000 0.0.0.0:* LISTEN 12092/httpd
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1208/sshd
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1736/master
tcp 0 0 192.168.122.200:22 192.168.122.1:58730 ESTABLISHED 11967/sshd: root@pt
tcp 0 0 192.168.122.200:36350 192.168.122.200:5000 TIME_WAIT -
udp 0 0 127.0.0.1:323 0.0.0.0:* 772/chronyd
Visiblement je me rends compte que virtd filtre des trucs de sa propre initiative :
Est-ce que ça auraut un rapport avec ça ? :
# virsh nwfilter-list
UUID Name
-----------------------------------------------------------------
f0095d3c-2a43-4fdb-90be-367351e746d0 allow-arp
ea2d0580-dfe5-4f72-b45b-ebb6ccc36f9f allow-dhcp
16545e1c-4eab-4c7c-8cf5-9ac69a63c192 allow-dhcp-server
f1f3e58b-067b-46da-b128-c65281ab1d25 allow-incoming-ipv4
42670326-c796-4ed7-8147-4db92f3c0877 allow-ipv4
249a164c-0f06-46a7-ad15-ced2cb2d577c clean-traffic
030d6745-cb75-445e-aaee-c30c21264e6a clean-traffic-gateway
c7fabe81-b6fe-435a-852a-fca898139ca0 no-arp-ip-spoofing
b7cb5aef-4af9-4e45-af07-3c29989c1dc1 no-arp-mac-spoofing
c4752f50-46a5-4253-a7e7-78242aabca28 no-arp-spoofing
cb9b2de9-96d2-4563-8faf-423513af84d2 no-ip-multicast
42861a2e-a7ca-4cd4-8332-e2b8e47cce99 no-ip-spoofing
087a28fc-d43f-4e8d-8e59-2c40756aa7b3 no-mac-broadcast
1e48e5d2-f9eb-4190-b240-1718ed086543 no-mac-spoofing
5e592d8a-ac5f-4e0a-acb2-cf804b3ad389 no-other-l2-traffic
e829939a-52be-4250-9ad4-57111757d845 no-other-rarp-traffic
3c43389d-acf7-423d-91dd-be70e8fbfba5 qemu-announce-self
124c42fb-0cfc-4c22-a10f-deb4d1080962 qemu-announce-self-rarp
# virsh nwfilter-dumpxml allow-ipv4
<filter name='allow-ipv4' chain='ipv4' priority='-700'>
<uuid>42670326-c796-4ed7-8147-4db92f3c0877</uuid>
<rule action='accept' direction='inout' priority='500'/>
</filter>
Par où dois-je commencer ?
# tcpdump/wireshark
Posté par eric gerbier (site web personnel) . Évalué à 2.
Dans ces cas-la, j'aime bien utiliser tcpdump/wireshark. Cela permet de voir quels paquets passent (syn ack)
# juste au cas ou
Posté par Anonyme . Évalué à 2.
sans vouloir insulter ton cerveau, pour arrêter shorewall tu modifie bien le fichier /etc/default/shorewall et tu met la valeur kivabien a : no
et ensuite tu redémarre.
et depuis de nouvelle version de shorewall, la config des interface nécessite un poil de réflexion.
moi je resterai avec shorewall jusqu'a ce que cela marche.
[^] # Re: juste au cas ou
Posté par Marotte ⛧ . Évalué à 3.
Tu peux insulter mon intelligence aussi fort que tu veux, si ça permet de résoudre mon problème !
Non, je fais
shorewall stoppuisiptables -P ACCEPT INPUT(idem avec OUTPUT et FORWARD)Avec ça « tout passe » ? Non ?
Ensuite
shorewall startpour remettre en place les règles.[^] # Re: juste au cas ou
Posté par Anonyme . Évalué à 2. Dernière modification le 31 juillet 2019 à 21:28.
il me semble que si tu fait shorewall stop, cela risque de merdouiller grave avec les regle iptable que tu rentre par la suite, j'ai du le lire dans la doc il y a longtemps :).
tu devrais vraiment soit supprimer shorewall, soit ne pas le lancer au demarrage avec /etc/default/shorewall
et continuer tes essais
[^] # Re: juste au cas ou
Posté par Marotte ⛧ . Évalué à 3.
Je ferais peut-être bien de repartir de zéro au niveau de la configuration de Shorewall.
Quand je fais
iptables -L -vje vois pas les règles correspondantes à mes règles shorewawll… Pourtant avant ça marchait :/Bon, je m’y penche pas ce soir de toute façon :)
[^] # Re: juste au cas ou
Posté par Marotte ⛧ . Évalué à 3. Dernière modification le 31 juillet 2019 à 21:18.
Complètement pété en fait mon shorewall :/
# Bon
Posté par Marotte ⛧ . Évalué à 3.
J’ai viré Shorewall.
Le routage me semble OK, je peux pinguer de l’hôte vers l’invité et inversement.
Donc pour moi, mais je peux me tromper, le pb est forcément au niveaudes filtrage "nwfilter" de la la virtualisation, non ?
[^] # Re: Bon
Posté par NeoX . Évalué à 3.
si en virant shorewall ca refonctionne
le probleme vient de shorewall, pas de la virtualisation
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.