Firewall blocage DNS - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 17-10-2011 à 16:07:26
quel régle asq bloque ce flux ?
Marsh Posté le 17-10-2011 à 16:09:50
as tu mis une régle de filtrage acceptant la résolution DNs de ton réseau vers "any"
As tu créé une rélge de filtrage de ton réseau vers any port 80.
Fais aussi le port ftp et 443
Marsh Posté le 17-10-2011 à 16:17:55
j'ai désactivé l'asq pour les tests (et pourtant j'ai ce paquet dans le syslog qui est bloqué), je suis en 'pass-all' complet et j'ai pas mieux
sinon sur le slot en question lorsque je l'aurais activé, j'ai bien le domain up de up en any depuis mon LAN et une règle pour le web (http/https/http proxy) ouverte en any vers mon fw_out.
Sinon le port sql et ftp, j'ai disable.
Marsh Posté le 17-10-2011 à 16:29:13
dans la realtime monitor quel régle de filtrage te fait un block ?
si ce n'est pas l'asq c'est une régle de filtrage ?
Marsh Posté le 17-10-2011 à 16:33:27
quesition béte sur ton firewall tu as bien mis dans NU MANAGER --> reseau --> routage ---> l'ip de ta passrelle de sortie ?
Marsh Posté le 17-10-2011 à 16:37:55
ah je parlais de la désactivation des règles de filtrage à mon niveau pardon, je suis bien en 'pass-all' pour mes tests là.
un autre screen où on voit bien un blocage alors que je ne devrais pas en avoir...
EDIT: oui pour ta question ci-dessus, j'ai bien l'ip de la gateway sinon je pense que je ne pourrais même pas pinguer des sites publics
Marsh Posté le 17-10-2011 à 16:49:31
pourrais tu plutot me donner les log en ssh
tail –f /log/l_filter | grep x.x.x.x <-- ip de la machine a surveiller qui va su internet
et/ou
tail –f /log/l_alarm | grep x.x.x.x
tu auras pétre plus de détail
Marsh Posté le 17-10-2011 à 16:50:46
regarde le MTU de ton interface au lieu de 1500 met le 1496 (si tu as des vlan)
ou moin
Marsh Posté le 17-10-2011 à 17:14:37
j'ai fais un test de mtu et ils doivent bien être affecté à 1500 (-28 soit 1472 lors des tests cmd)
je viens de faire des tests de tracerts sur différents sites et cela fonctionne convenablement, l'itinéraire se termine complètement.
lorsque je ping un site internet (DNS), j'ai maintenant une réponse
cependant, tjr le même soucis après.
Marsh Posté le 18-10-2011 à 07:19:42
quelle version logiciel du netasq ?
Marsh Posté le 18-10-2011 à 09:53:18
met a jour le firmware en 8.1.4
ne met pas la 9 sauf si tu veux être en full web et reparamétrer une bonne partie de ta conf
Marsh Posté le 18-10-2011 à 10:19:05
as tu regarder dans l'asq stateful ?
dans la taille minimale des fragment j'ai 140octets et 2secondes pour l'expiration.
Marsh Posté le 19-10-2011 à 10:52:57
tu y es arrivé ? c'etais quoi le probléme ?
Marsh Posté le 19-10-2011 à 11:20:32
nan, le presta est repassé sur un old fw, un f50 v6.0 et cela fonctionne parfaitement.
j'ai check les règles, nat, buffers, qui étaient paramétrés dessus et j'ai quasi la même chose sur le f200.
un truc de malade, prochain check dans 3 semaines
Marsh Posté le 17-10-2011 à 15:53:43
Bonjour
J'ai installé un Netasq f200 chez mon client avec une install des plus basiques qui soit.
Un LAN, une DMZ, un NETASQ F200, un routeur FT en bridge.
J'ai fais mes règles de NAT, forward, etc. J'accède bien depuis l'extérieur à mon site sur le port 80, rdp sur 3389, etc.
Le seul soucis que j'ai c'est que tous mes postes et serveur du LAN n'accèdent pas à Internet. J'arrive bien à pinger des sites externes mais impossible d'y accèder. Autre chose de bizarre: il m'est possible de réaliser des recherches google en faisant apparaître des résultats mais il n'est malheureusement pas possible d'accèder aux sites...
J'ai pensé à un problème de DNS mais ceux sont les DNS de FT et ils sont corrects. Je n'ai pas de proxy http, ni de filtrage d'url. J'ai check la taille de mes buffers en les augmentant même et pas mieux. Idem pour les MTU...
Voici un screen d'une erreur que j'ai dans le syslog lorsque je parcours un site (on voit bien le blocage alors que je me suis positionné en 'pass-all' pour mes tests).
Si quelqu'un a une idée...