Firewall blocage DNS

Firewall blocage DNS - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 17-10-2011 à 15:53:43    

Bonjour
 
J'ai installé un Netasq f200 chez mon client avec une install des plus basiques qui soit.
 
Un LAN, une DMZ, un NETASQ F200, un routeur FT en bridge.
 
J'ai fais mes règles de NAT, forward, etc. J'accède bien depuis l'extérieur à mon site sur le port 80, rdp sur 3389, etc.
 
Le seul soucis que j'ai c'est que tous mes postes et serveur du LAN n'accèdent pas à Internet. J'arrive bien à pinger des sites externes mais impossible d'y accèder. Autre chose de bizarre: il m'est possible de réaliser des recherches google en faisant apparaître des résultats mais il n'est malheureusement pas possible d'accèder aux sites...
 
J'ai pensé à un problème de DNS mais ceux sont les DNS de FT et ils sont corrects. Je n'ai pas de proxy http, ni de filtrage d'url. J'ai check la taille de mes buffers en les augmentant même et pas mieux. Idem pour les MTU...
 
Voici un screen d'une erreur que j'ai dans le syslog lorsque je parcours un site (on voit bien le blocage alors que je me suis positionné en 'pass-all' pour mes tests).
 
Si quelqu'un a une idée...
 
http://img190.imageshack.us/img190/5161/screenbf.jpg

Reply

Marsh Posté le 17-10-2011 à 15:53:43   

Reply

Marsh Posté le 17-10-2011 à 16:07:26    

quel régle asq bloque ce flux ?


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 17-10-2011 à 16:09:50    

as tu mis une régle de filtrage acceptant la résolution DNs de ton réseau vers "any"
As tu créé une rélge de filtrage de ton réseau vers any port 80.
Fais aussi le port ftp et 443


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 17-10-2011 à 16:17:55    

j'ai désactivé l'asq pour les tests (et pourtant j'ai ce paquet dans le syslog qui est bloqué), je suis en 'pass-all' complet et j'ai pas mieux
sinon sur le slot en question lorsque je l'aurais activé, j'ai bien le domain up de up en any depuis mon LAN et une règle pour le web (http/https/http proxy) ouverte en any vers mon fw_out.
Sinon le port sql et ftp, j'ai disable.


Message édité par dimz4 le 17-10-2011 à 16:22:17
Reply

Marsh Posté le 17-10-2011 à 16:29:13    

dans la realtime monitor quel régle de filtrage te fait un block ?
si ce n'est pas l'asq c'est une régle de filtrage ?
 


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 17-10-2011 à 16:33:27    

quesition béte sur ton firewall tu as bien mis dans NU MANAGER --> reseau --> routage ---> l'ip de ta passrelle de sortie ?


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 17-10-2011 à 16:37:55    

ah je parlais de la désactivation des règles de filtrage à mon niveau pardon, je suis bien en 'pass-all' pour mes tests là.
 
un autre screen où on voit bien un blocage alors que je ne devrais pas en avoir...
 
http://img823.imageshack.us/img823/6084/screen2cj.jpg
 
EDIT: oui pour ta question ci-dessus, j'ai bien l'ip de la gateway sinon je pense que je ne pourrais même pas pinguer des sites publics


Message édité par dimz4 le 17-10-2011 à 16:38:54
Reply

Marsh Posté le 17-10-2011 à 16:49:31    

pourrais tu plutot me donner les log en ssh
tail –f /log/l_filter | grep x.x.x.x <-- ip de la machine a surveiller qui va su internet
et/ou
tail –f /log/l_alarm | grep x.x.x.x
tu auras pétre plus de détail


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 17-10-2011 à 16:50:46    

regarde le MTU de ton interface au lieu de 1500 met le 1496 (si tu as des vlan)
ou moin


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 17-10-2011 à 17:14:37    

j'ai fais un test de mtu et ils doivent bien être affecté à 1500 (-28 soit 1472 lors des tests cmd)
 
je viens de faire des tests de tracerts sur différents sites et cela fonctionne convenablement, l'itinéraire se termine complètement.
 
lorsque je ping un site internet (DNS), j'ai maintenant une réponse
 
cependant, tjr le même soucis après.

Reply

Marsh Posté le 17-10-2011 à 17:14:37   

Reply

Marsh Posté le 18-10-2011 à 07:19:42    

quelle version logiciel du netasq ?


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 18-10-2011 à 08:52:16    

8.0.1 me semble

Reply

Marsh Posté le 18-10-2011 à 09:53:18    

met a jour le firmware en 8.1.4
ne met pas la 9 sauf si tu veux être en full web et reparamétrer une bonne partie de ta conf


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 18-10-2011 à 10:19:05    

as tu regarder dans l'asq stateful ?
dans  la taille minimale des fragment j'ai 140octets et 2secondes pour l'expiration.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 19-10-2011 à 10:52:57    

tu y es arrivé ? c'etais quoi le probléme ?


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 19-10-2011 à 11:20:32    

nan, le presta est repassé sur un old fw, un f50 v6.0 et cela fonctionne parfaitement.
j'ai check les règles, nat, buffers, qui étaient paramétrés dessus et j'ai quasi la même chose sur le f200.
 
un truc de malade, prochain check dans 3 semaines


Message édité par dimz4 le 19-10-2011 à 11:21:24
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed