La Fibre
Fournisseurs d'accès à Internet fixe en France métropolitaine => 
Adeli => Opérateurs grand public alternatifs => Espace technique internet Adeli => Discussion démarrée par: sulliwane le 28 avril 2012 à 09:43:02
-
Bonjour à tous,
Depuis quelques temps, j'ai une Ubuntu server 12.04 en fonctionnement derrière la fibre, alimenté par ADELI.
Ce matin, je lance une connexion SSH => "connexion aborted" rien...pas de connexion. Pour un serveur, ce genre d'instabilité est toujours très embêtant (énervant aussi ;)).
>> Mais est-ce lié à Ubuntu, ou bien à Adeli ?
Depuis une Ubuntu desktop, je lance donc un petit "ping <mon_adresse_ip_fixe_adeli>"
Et quel ne fut pas ma stupeur de découvrir la réponse du Ping :o => "IP filtered by ADELI"
On dirait bien que le parefeu d'ADELI bloque certaines requêtes à destination de mon IP (n'étant pas à la maison, je ne sais pas ce qu'il en est des requêtes sortantes).
Depuis quelques jours, j'ai mis en place le backup rsync d'un synology sur ma Ubuntu, ce qui entraîne un trafic continue (mais pas important : 100k/s).
Je ne comprends vraiment pas la raison du blocage mis en place par ADELI...mais peut-être que j'interprète mal les faits ? :o
Dans tous les cas, mon serveur reste inaccessible en ce moment, c'est très dur à vivre :'(
Merci à vous ! :)
-
Si il faut m'expliquer pourquoi !, j'insiste LOURDEMENT car dans un usage normal et respectueux des lois, là je ne vois pas!
Maintenant pour ce qui est des abonnements grand public, les services de messagerie sont bloqués (enfin le port 25) donc là encore c'est une mauvaise question. Sur nos CGV, on stipule bien que l'usage SERVEUR est interdit sur les abonnements grand public.
CQFD ?
(ce post et les suivants (https://lafibre.info/adeli-internet/ipv6-actif-sur-les-vlans-thd-fibre/msg46779/#msg46779))
-
Depuis quelques temps, j'ai une Ubuntu server 12.04 en fonctionnement derrière la fibre, alimenté par ADELI.
Elle est sortie avant-hier la 12.04 !
Serait-il possible de me donner ton IP pour que je réalise quelques tests ?
-
@Nico Noooooooooooooooooooooooooooooonnnn, l'usage serveur est interdit ??? j'y crois pas :o( c'est propre à ADELI ou bien c'est tous les FAI de l'ain qui brident l'utilisation de la connexion ? Après l'achat matos, les heures de configuration etc etc, quelle désillusion :(
@Vivien oui, la version stable est sortie hier, mais ça fait 3 semaines que j'ai la version bêta sur mon serveur :)
ps : IP envoyée par MP
(http://img195.imageshack.us/img195/3779/pingvw.jpg)
-
@Corrector Noooooooooooooooooooooooooooooonnnn, l'usage serveur est interdit ??? j'y crois pas :o( c'est propre à ADELI ou bien c'est tous les FAI de l'ain qui brident l'utilisation de la connexion ? Après l'achat matos, les heures de configuration etc etc, quelle désillusion :(
Nico, pas corrector :)
Sinon un certain nombre de FAI en France indique que ce genre d'usage est interdit, c'est en général pour se couvrir contre certains abus. A voir si c'est ça qui a déclenché le blocage qui semble te toucher ou pas.
-
Ooops, désolé pour l'erreur, c'est édité ;) (je me suis embrouillé les pinceaux avec l'autre fil de discussion)
J'ai bien peur d'avoir justement atteint une limite fixée par le par feu ADELI. Mais ce qui m'intrigue le plus, c'est que la connexion utilisée est essentiellement download côté serveur. Ce qui reviendrait à dire que si je télécharge pendant 4 jours d'affilé à 100ko/s, je me fait couper...
Si encore j'avais mis masse de film sur le serveur, avec accès en téléchargement, et du upload à 80Mbits/s pendant 4 jours, je **pourrais** comprendre.
Mettre des bâtons dans les roues des hébergeurs particuliers, ça va pas dans le sens de la décentralisation de l'internet. On en revient au même point de toute façon, consommateur/payeur me semble être le système le plus juste. L'hypocrisie de "l'illimité" a déjà sauté avec l'internet mobile, j'imagine que ça n'est qu'une question de temps pour l'internet fixe... ::)
-
Une protection contre l'ICMP est bien mis en place depuis l'extérieur du réseau ADELI mais cela n’empêche en rien le fonctionnement.
Voici ce que je réalise depuis ma Bbox fibre, donc depuis l'extérieur du réseau ADELI :
SSH vers ton serveur :
$ ssh 46.227.xx.xx
The authenticity of host '46.227.xx.xx (46.227.xx.xx)' can't be established.
ECDSA key fingerprint is 58:92:6c:e5:9a:08:66:cf:59:80:05:2c:cb:72:9a:12.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.
Http :
En http sur l'url http://46.227.xx.xx/phpmyadmin/ (http://46.227.xx.xx/phpmyadmin/) j'ai bien accès à l'interface de PhpMyAdmin
Pour le https, j'ai l'erreur suivante avec Firefox :
Échec de la connexion sécurisée
An error occurred during a connection to 46.227.xx.xx
SSL received a record that exceeded the maximum permissible length.
(Error code: ssl_error_rx_record_too_long)
Tout me semble donc bien en place chez toi pour héberger un petit site ;)
-
AH yes, je confirme, le blocage est levé...
Je suis d'accord que l'accès est bon à présent, mais ça n'était pas le cas de 9h à 11h ce matin (avant je n'étais pas levé donc je n'en sais rien, et je n'ai pas retesté après 11H) mais il y a bel et bien eu blocage (la photo du ping que j'ai posté ci-dessus en est la preuve (je suis pas fou hein ;D ! )
Mais peut-être était-ce dû à une maintenance plutôt qu'un blocage lié à l'activité de mon serveur ?
Merci Seb pour les tests. Je vous tiens au courant si je rencontre de nouvelles coupures...
-
Refait le ping, je ne suis pas sur que cela ait changé...
Il me semble qu'une protection ICMP est mis en place depuis l'extérieur du réseau. J'ai demandé à Lionel pourquoi, mais c'est de plus en plus fréquent que les box ne répondent plus au ping.
Exemple avec SFR (https://lafibre.info/sfr-la-fibre/graphes-smokeping-et-neufbox-v5/) où certaines box ne répondent plus au ping. Chez Bouygues Telecom, c'est systématique sur les "Bbox fibre" => https://lafibre.info/bbox-tutoriels/comment-avoir-un-graphe-smokeping-de-sa-bbox/ (https://lafibre.info/bbox-tutoriels/comment-avoir-un-graphe-smokeping-de-sa-bbox/)
-
Ah oui tu as raisons, toujours bloqué en ICMP.
En fait je viens de trouver ton post https://lafibre.info/tutoriels/tcpping/ (https://lafibre.info/tutoriels/tcpping/) que je vais m'atteler à lire. Je n'avais jamais entendu de ICMP jusqu'à maintenant :-[
Donc à priori TCP/UDP sont ouverts mais pas ICMP...bon, faut que je lise un peu là, je suis plus ;D
edit : donc l'accès en TCP sur 22 par exemple est bien à nouveau disponible puisque j'ai accès en SSH. Pourtant entre 9h et 11h il m'était impossible de lancer une connexion ssh. Et ça je me demande d'où ça pouvait venir
-
Il est possible que ce soit une panne sur le SIEA vu que la box ADELI était joignable mais pas la tienne => https://lafibre.info/dns/smokeping.cgi?target=adeli.ADELIbox (https://lafibre.info/dns/smokeping.cgi?target=adeli.ADELIbox)
Je fais un graphe de ta ligne ADELI ? (rien à faire de ton coté et ton IP n’apparait pas sur l'interface web)
-
Ok, jveux bien un ptit graph ;D
-
C'est fait => https://lafibre.info/dns/smokeping.cgi?target=adeli.ADELIbox (https://lafibre.info/dns/smokeping.cgi?target=adeli.ADELIbox)
-
Merci :)
-
Starting Nmap 5.51 ( http://nmap.org ) at 2012-04-28 14:28 Paris, Madrid (heure d'été)
Nmap scan report for libre.maxnod.net (46.227.x.x)
Host is up (0.047s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE
9/tcp closed discard
22/tcp open ssh
80/tcp open http
443/tcp open https
8080/tcp open http-proxy
Nmap done: 1 IP address (1 host up) scanned in 29.28 seconds
http://46.227.x.x/ (http://46.227.x.x/)
Not Found
The requested URL / was not found on this server.
Apache/2.2.22 (Ubuntu) Server at 46.227.x.x Port 80
https://46.227.x.x/ (https://46.227.x.x/)
Une erreur est survenue pendant une connexion à 46.227.x.x.
SSL a reçu un enregistrement qui dépasse la longueur maximale autorisée.
(Code d'erreur : ssl_error_rx_record_too_long)
ssh 46.227.x.x
login as: anonymous
anonymous@46.227.x.x's password:
nping --tcp 46.227.x.x
Starting Nping 0.5.51 ( http://nmap.org/nping (http://nmap.org/nping) ) at 2012-04-28 14:36 Paris, Madrid (heure d'été)
SENT (0.6400s) TCP 192.168.1.11:23721 > 46.227.x.x:80 S ttl=64 id=13118 iplen=40 seq=2410789292 win=1480
RCVD (0.9370s) TCP 46.227.x.x:80 > 192.168.1.11:23721 SA ttl=46 id=0 iplen=44 seq=3371332907 win=14600 <mss 1460>
SENT (1.9150s) TCP 192.168.1.11:23721 > 46.227.x.x:80 S ttl=64 id=13118 iplen=40 seq=2410789292 win=1480
RCVD (1.9500s) TCP 46.227.x.x:80 > 192.168.1.11:23721 SA ttl=46 id=0 iplen=44 seq=3371332907 win=14600 <mss 1460>
RCVD (2.1350s) TCP 46.227.x.x:80 > 192.168.1.11:23721 SA ttl=46 id=0 iplen=44 seq=3371332907 win=14600 <mss 1460>
-
Il y a un paquet d'IP qui ont pour RDNS : libre.maxnod.net
-
Bonjour,
sur la connexion grand public, le ping (pour les téléphones) et le port smtp (pour le spam) sont filtrés.
L'usage d'une connexion serveur n'est pas la cible d'une connexion grand public.
Je rappelle que l'offre max 100Mbits/s est basée sur du 5 burst 100, ce n'est pas compatbile avec un usage serveur (d'ailleurs idem pour le prix...)
-
le ping (pour les téléphones)
Pas compris.
-
Nous avons été obligé de filtrer le ping (ICMP) vers internet à cause des wrp400 (ancien routeur+téléphone) qui ne supportaient pas les attaques Flood ICMP, on a mis plus d'1 mois à trouver ce problème vu le coté sporadique des attaques.
Arpès le port smtp (réservé aux serveurs) est lui aussi filtré, là c'est le coté spam qui est visé!
Vous comprendrez que cette protection est vraiment utile pour le grand public, car un pc infecté par un spyware/vers peux envoyer énormèment de spam sur une connexion à 100Mbs/s.
La seule solution pour éviter ces limites est de souscrire à une option pro (la moins cher de mémoire est à <44€), la grosse différence est qu'il n'y a pas de limite au niveau ping et smtp.
-
Nous avons été obligé de filtrer le ping (ICMP) vers internet à cause des wrp400 (ancien routeur+téléphone) qui ne supportaient pas les attaques Flood ICMP, on a mis plus d'1 mois à trouver ce problème vu le coté sporadique des attaques.
Mais un SYN flood, oui?
-
syn flood : pas d'impact, dans les faits je ne sais pas s'ils ont une protection intégrée vu que depuis ce filtrage nous n'avons plus de problème.
-
Nous avons été obligé de filtrer le ping (ICMP) vers internet à cause des wrp400 (ancien routeur+téléphone) qui ne supportaient pas les attaques Flood ICMP, on a mis plus d'1 mois à trouver ce problème vu le coté sporadique des attaques.
Arpès le port smtp (réservé aux serveurs) est lui aussi filtré, là c'est le coté spam qui est visé!
Vous comprendrez que cette protection est vraiment utile pour le grand public, car un pc infecté par un spyware/vers peux envoyer énormèment de spam sur une connexion à 100Mbs/s.
La seule solution pour éviter ces limites est de souscrire à une option pro (la moins cher de mémoire est à <44€), la grosse différence est qu'il n'y a pas de limite au niveau ping et smtp.
Vous faites super peur.
"qui ne supportaient pas les attaques Flood ICMP" mais WTF :)
Encore un FAI à jeter.
-
Ah oui les bug dans les firmwares.... (dans les faits ce n'est pas un bug mais un wrp400 sur un réseau 100Mbits, je ne sais pas si cela avait été prévu au départ!
Bon pour la partie FAI, je ne pense pas que ce soit vraiment de notre responsabilité !
Si on parle de FAI, on peut aussi parler d'OVH qui filtre/limite les ICMP, mais dans un tout autre cadre car ce sont bien là les professionnels du net :(.
On a préféré laisser du 100Mbits/s en upload que de brider à 5 Mbs ou plus comme les autres FAI.
-
Bonjour
Une question vis à vis des filtrages pour le grand public, les particuliers.
De nombeux particiliers possèdent à la maison des NAS.
Exemple de NAS pour les particuliers :
http://www.synology.com/products/product.php?product_name=DS212j&lang=fre (http://www.synology.com/products/product.php?product_name=DS212j&lang=fre)
Sur le réseau ADELI est ce qu'il est possible
- d'accéder à son NAS depuis l'extérieur ?
- de réaliser des sauvegardes automatiques entre 2 NAS à distance,
Merci d'avance
-
Oui c'est réalisable.
Le filtrage mis en place par sur le port 25 est une recommandation (que K-Net ne suit pas cf post Pare-feu en sortie (https://lafibre.info/k-net/pare-feu-en-sortie/)) afin de limiter le SPAM par des PC Windows infectés (désolé si je cite l'OS mais il me semble que c'est le seul concerné).
Filtrer l'ICMP, c'est filtrer le ping, c'est juste pour faire un "ping" que cela pose problème. La aussi, plusieurs FAI bloquent l'ICMP, généralement au niveau de la box (exemple avec bouygues telecom tutoriel pour désactiver le filtrage sur la Bbox (https://lafibre.info/bbox-tutoriels/comment-avoir-un-graphe-smokeping-de-sa-bbox/)) mais OVH limite l'ICMP sur le réseau comme le rappel Lionel.
Bref aucun souci accéder a un NAS de l'extérieur après avoir ouvert les ports.
-
Bonjour
Une question vis à vis des filtrages pour le grand public, les particuliers.
De nombeux particiliers possèdent à la maison des NAS.
Exemple de NAS pour les particuliers :
http://www.synology.com/products/product.php?product_name=DS212j&lang=fre (http://www.synology.com/products/product.php?product_name=DS212j&lang=fre)
Sur le réseau ADELI est ce qu'il est possible
- d'accéder à son NAS depuis l'extérieur ?
- de réaliser des sauvegardes automatiques entre 2 NAS à distance,
Merci d'avance
Bonjour,
oui c'est effectivement le cas, seul le port 25 (Serveur SMTP) et lICMP sont filtrés.
Cdt.
-
Quels types ICMP? entrants et sortants?
Et en IPv6 aussi?