OVH Community, your new community space.

Firewall vs. ping.ovh.net


bjo
22.04.08, 19:24
Das erklärts wohl. Bei mir kommen folgende Pings an:

19:23:32.157801 IP sla-rbx-35.ovh.net > soleil.nord-west.net: ICMP echo request, id 16468, seq 1280, length 64
19:23:32.157865 IP soleil.nord-west.net > sla-rbx-35.ovh.net: ICMP echo reply, id 16468, seq 1280, length 64
19:24:32.292765 IP sla-rbx-35.ovh.net > soleil.nord-west.net: ICMP echo request, id 37204, seq 1280, length 64
19:24:32.292824 IP soleil.nord-west.net > sla-rbx-35.ovh.net: ICMP echo reply, id 37204, seq 1280, length 64
Somit ist die Aussage in der Log, dass der Ping 213.186.33.13 aka ping.ovh.net kommt, wohl falsch.

Also werd ich mein Skript mal anpassen...Danke!

piespy
22.04.08, 18:30
Ich hab mal geschaut, wo bei mir die Pings herkommen, mit tcpdump -i eth0 icmp, und das scheint wohl noch eine ganz andere Adresse zu sein: sla-rbx-24.ovh.net (91.121.200.250)

18:28:04.367867 IP sla-rbx-24.ovh.net > r11574.ovh.net: ICMP echo request, id 23382, seq 18944, length 64
18:28:04.367909 IP r11574.ovh.net > sla-rbx-24.ovh.net: ICMP echo reply, id 23382, seq 18944, length 64

bjo
22.04.08, 17:52
Es existiert keine OUTPUT-Chain, rp_filter ist auch nicht gesetzt. Beide IPs lassen sich problemlos vom anderen Server aus pingen.

Allmählich komm ich mir da echt blöd vor, schliesslich will ich nich massenweise Tickets produzieren :/

piespy
22.04.08, 17:40
Sehe da nichts, was falsch wäre. Hat die "OUTPUT" chain vielleicht Regeln, die die icmp-Antwort blocken würden?

Außerdem wird ja offenbar die failover-IP gepingt, also die an eth0:0 gebundene. Geht das von dem anderen Server? Weil sonst kann es sein, daß der "reverse path filter" aktiviert ist, was alle Pakete blockt, die auf einem Interface ankommen, wo sie nicht auch wieder rausgehen würden. Das setzt man in /proc/sys/net/ipv4/conf/*/rp_filter, wo der * entweder "all" oder das Interface ist, also eth0.

bjo
22.04.08, 17:09
Hm, ich hab nun eth0 durch eth+ ersetzt, nach einiger Zeit kam wieder
Code:
Logs:
----------------------
PING r12171.ovh.net (87.98.130.108) from 213.186.33.13 : 56(84) bytes of data.
From 213.186.33.13: Destination Host Unreachable
From 213.186.33.13: Destination Host Unreachable
From 213.186.33.13: Destination Host Unreachable

--- 87.98.130.108 ping statistics ---
10 packets transmitted, 0 packets received, +6 errors, 100% packet loss
---------------------
Firewall-Script
Code:
/sbin/iptables -F
/sbin/iptables -A INPUT -i eth+ -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p tcp --dport 25 -j ACCEPT
#/sbin/iptables -A INPUT -i eth+ -p tcp --dport 53 -j ACCEPT
#/sbin/iptables -A INPUT -i eth+ -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p tcp --dport 993 -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -i eth+ -p icmp --source proxy.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p icmp --source proxy.p19.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p icmp --source proxy.rbx.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p icmp --source ping.ovh.net -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p icmp --source monde.nord-west.net -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -p icmp --source lune.nord-west.net -j ACCEPT
/sbin/iptables -A INPUT -i eth+ -j REJECT
Gruß
bjo

bjo
22.04.08, 16:51
Dann hab ich wohl http://www.serveur-rps.fr/serveur_rp...nement_general falsch verstanden?

*eth0 est l'IP physique rattaché à mon serveur, d'ailleurs il s'agit des 1ers serveurs livrés caractérisés par une IP qui contient .193.
*eth0:0 est l'IP failover qui ne changera jamais et sera rattaché à mon compte OVH.

Ainsi, pour toute configuration d'une application, il faut utiliser l'interface eth0:0 !
Die Liste der Server, denen man ICMP erlauben muss, hatte ich bereits von der von dir genannten Seite übernommen.

piespy
22.04.08, 16:45
Die externe IP ist an eth0:0 gebunden, nicht an eth0 (bei mir jedenfalls). Um beide IPs abzusichern, ist es deshalb besser "-i eth0" durch "-i eth+" zu ersetzen.

Außerdem gibt es wohl noch andere Server, denen man icmp erlauben muß, siehe http://hilfe.ovh.de/AdministrationFireWall#link4

bjo
22.04.08, 16:24
Moin,

irgendwie gibt mein RPS ggü. ping.ovh.net kein Lebenszeichen von sich, obwohl er das eigentlich sollte.
Gemäß
Code:
/sbin/iptables -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT
sollte er ICMP-Pakete von ping.ovh.net beantworten, ich bekam aber in der letzten Stunde zweimal jeweils eine E-Mail, dass ping.ovh.net keine Antwort bekommt. Ist natürlich ärgerlich, weil der Sinn des Monitorings ja damit ad absurdum geführt wird.
Ein Ping-Test von einem anderen Server, dem auch icmp-Pakete erlaubt sind, verlief positiv.

gruß
bjo