Discussion :

[d.pierre235]

Bonjour à tous

Voilà mon problème, surement très simple pour quelqu'un ayant des connaissances en réseau mais comme je débute dans le domaine....

Je voudrais ouvrir le port 37000 (en entrée) sur une distrib Linux Red hat.

Actuellement en faisant un netstat j'ai:

root@monserveur:/etc/#netstat -aln |grep 37000
tcp 0 0 182.17.15.17:37000 :::* LISTEN
tcp 0 0 127.0.0.1:37000 :::* LISTEN

=> où le 182.17.15.17 est ma machine cible. Donc seules les machines s'enregistrant sur cette ip et le port 37000 peuvent y accéder.

Or je souhaiterais avoir ca:

root@monserveur:netstat -aln |grep 37000
tcp 0 0 :::37000 :::* LISTEN

voire, autoriser machine par machine donc avoir ceci (185.17.25.35 = machine source)
root@monserveur:/etc/#netstat -aln |grep 37000
tcp 0 0 185.17.25.35:37000 :::* LISTEN
tcp 0 0 182.17.15.17:37000 :::* LISTEN
tcp 0 0 127.0.0.1:37000 :::* LISTEN


Comment faire ?
Je pense qu'il faut que je passe par un iptables:
iptables -A INPUT -p tcp -m tcp --dport 27000 -j ACCEPT

pouvez vous me confirmer qu'il s'agisse de la bonne commande ?
Je travaille sur la production et je ne voudrais pas tout f.. en l'air.

Merci

[GuillaumeLynC]

Bonjour,

root@monserveur:/etc/#netstat -aln |grep 37000
tcp 0 0 182.17.15.17:37000 :::* LISTEN
tcp 0 0 127.0.0.1:37000 :::* LISTEN

=> où le 182.17.15.17 est ma machine cible. Donc seules les machines s'enregistrant sur cette ip et le port 37000 peuvent y accéder.

Or je souhaiterais avoir ca:

root@monserveur:netstat -aln |grep 37000
tcp 0 0 :::37000 :::* LISTEN

voire, autoriser machine par machine donc avoir ceci (185.17.25.35 = machine source)
root@monserveur:/etc/#netstat -aln |grep 37000
tcp 0 0 185.17.25.35:37000 :::* LISTEN
tcp 0 0 182.17.15.17:37000 :::* LISTEN
tcp 0 0 127.0.0.1:37000 :::* LISTEN

LISTEN veut dire que le port 37000 est en écoute sur sa carte réseau. Vous avez essayé de faire un test de connexion côté client?

Je pense qu'il faut que je passe par un iptables:
iptables -A INPUT -p tcp -m tcp --dport 27000 -j ACCEPT

Vous autorisez le protocole 27000 en TCP a écouter sur le réseau. De plus 27000 et 37000 ne sont pas identique.

Cordialement

[d.pierre235]

Bonjour,




LISTEN veut dire que le port 37000 est en écoute sur sa carte réseau. Vous avez essayé de faire un test de connexion côté client?

cordialement

Merci pour la réponse.
Ok mon intitulé n'était pas bon.
En fait le client atteint mon serveur linux via un vlan et non pas directement sur son ip de prod.
Il y a une multitudes de clients qui accèdent au serveur linux, chacun à travers un vlan différent.

Les ping répondent bien et si je fais un telnet depuis mon client sur le serveur linux et sur le port en question: il me le refuse (aucun firewall)
D'ailleurs si je le fais sur un autre port, ouvert, il n'y a pas de problème.

Donc ma problématique serait d'ouvrir les ports non pas sur sa seule carte réseau:
root@monserveur:/etc/#netstat -aln |grep 37000
tcp 0 0 182.17.15.17:37000 :::* LISTEN
tcp 0 0 127.0.0.1:37000 :::* LISTEN

mais sur toutes adresses:
root@monserveur:netstat -aln |grep 37000
tcp 0 0 :::37000 :::* LISTEN


merci !

[d.pierre235]

Bonjour,

Vous autorisez le protocole 27000 en TCP a écouter sur le réseau. De plus 27000 et 37000 ne sont pas identique.

Cordialement

Arf! Désolé!
Je voulais dire:

iptables -A INPUT -p tcp -m tcp --dport 37000 -j ACCEPT
(je dois également ouvrir le port 27000, mauvais copié/collé)...

[GuillaumeLynC]

C'est normal

tcp 0 0 :::37000 :::* LISTEN

Ici vous écoutez en IPv6 alors que nous on veut en IPv4 donc le quote au dessus est faux.

avez vous la ligne

tcp 0 0 0.0.0.0:37000 en gros le serveur écoute sur toute les adresses en IPv4.



0.0.0.0:22 cela veut dire que le serveur écoute sur toute ses adresses en IPv4.
192.168.2.75:22(c'est l'IPv4 du serveur suivi du protocole 22) et comme vous pouvez le remarquer à coté; une adresse cliente c'est connecté (qui est 192.168.2.2:64964 de plus vous pouvez constater qu'il y a écrit ESTABLISHED)
:::22 c'est exactement pareil pour 0.0.0.0:22 sauf que c'est en IPv6.

Vous aimeriez que cette adresse IPv4: tcp 0 0 185.17.25.35:37000 :::* LISTEN soit en écoute sur le serveur.


Vous avez une seul carte réseau sur votre serveur qui est 182.17.15.35
attention netstat -a permet d'analyser les connexions entrante et sortant en TCP et UDP de votre serveur. Il ne permet pas d'autoriser et d'enregistrer des connexions.

[d.pierre235]

C'est normal

Ici vous écoutez en IPv6 alors que nous on veut en IPv4 donc le quote au dessus est faux.

avez vous la ligne

tcp 0 0 0.0.0.0:37000 en gros le serveur écoute sur toute les adresses en IPv4.

Non rien de semblable.
Ca veut dire qu'un serveur en ipv6 ne peut communiquer avec un autre en ipv4 ??
POur autant avec ce meme client sur le port 28001 le telnet fonctionne

client:
C:\Users\Administrateur>telnet 182.18.27.17 28001 (où 182.18.27.17 = serveur linux cible via le vlan 27)
=> OK


server:
root@monserveur:/etc/#: netstat -aln |grep 28001
tcp 0 0 :::28001 :::* LISTEN
tcp 0 0 182.17.15.17:28001 182.17.15.17:48419 TIME_WAIT
tcp 0 0 182.17.15.17:28001 182.17.15.17:46911 TIME_WAIT
tcp 0 0 182.17.15.17:28001 182.17.15.17:52369 TIME_WAIT
tcp 0 0 182.17.15.17:28001 182.17.15.17:58487 TIME_WAIT
tcp 0 0 182.17.15.17:37974 182.17.14.3:28001 TIME_WAIT


Et sur le port 37000:
C:\Users\Administrateur>telnet 182.18.27.17 37000
Connexion à 182.18.27.17...Impossible d'ouvrir une connexion à l'hôte, sur le port 37000: Échec lors de la connexion

0.0.0.0:22 cela veut dire que le serveur écoute sur toute ses adresses en IPv4.
192.168.2.75:22(c'est l'IPv4 du serveur suivi du protocole 22) et comme vous pouvez le remarquer à coté; une adresse cliente c'est connecté (qui est 192.168.2.2:64964 de plus vous pouvez constater qu'il y a écrit ESTABLISHED)
:::22 c'est exactement pareil pour 0.0.0.0:22 sauf que c'est en IPv6.

Vous aimeriez que cette adresse IPv4: tcp 0 0 185.17.25.35:37000 :::* LISTEN soit en écoute sur le serveur.

En fait j'aimerais que toutes les adresses soient en écoute, sans restriction.
Que toutes les machines ayant une patte sur ce réseau puisse joindre le serveur sur ce port.

Vous avez une seul carte réseau sur votre serveur qui est 182.17.15.35
attention netstat -a permet d'analyser les connexions entrante et sortant en TCP et UDP de votre serveur. Il ne permet pas d'autoriser et d'enregistrer des connexions.

Oui tout à fait, une seule carte (bound0) et une trentaine de vlan (bound.vlan25, bound.vlan26...)
Je pensais à la commande iptables mais un "iptables -A INPUT -p tcp -m tcp --dport 37000 -j ACCEPT" ne donne rien.

[GuillaumeLynC]

Le port par défaut de telnet est le port 23.

Avez vous essayez avec le port 23?

[d.pierre235]

Le port par défaut de telnet est le port 23.

Avez vous essayez avec le port 23?

Depuis le client vers le linux ?
le telnet sur port 23 ne passe pas.
Pour autant d'autres ports (dont le 28001) passent.

[d.pierre235]

désolé d'insister...
Comment faire pour que je puisse mettre en écoute le port 37000 pour toutes les ip entrantes et pas seulement sa carte réseau ??

Merci !!!!

[d.pierre235]

petit up...

[GuillaumeLynC]

Bonjour,


Etes vous connecté (en tant que client) sur le même vlan du serveur?

Cordialement,

[d.pierre235]

Bonjour,

Oui tout à fait.
D'ailleurs le ping réponds.

[GuillaumeLynC]

C'est un modem donné par votre FAI ou c'est un routeur cisco ou HP (ou autre marque) ?

[d.pierre235]

C'est un modem donné par votre FAI ou c'est un routeur cisco ou HP (ou autre marque) ?

Bonsoir,

via un routeur.

merci

[GuillaumeLynC]

Dans c'est cas la vous devriez créer une règle NAT en redirigeant le protocole 37000 sur votre serveur depuis le routeur.

en protocole externe 37000 en interne 37000 puis l'ip sera de votre serveur, n'oubliez pas de l'ouvrir en TCP et en UDP.