Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 20/04/2019, à 21:08

diesel

[ RESOLU... vu la tournure que ça prend ] Problème mdns

Bonsoir,

J'ai un serveur sous ubuntu 18.04 et mon PC de travail sous ubuntu 19.04, les deux reliés via un réseau ethernet en 100Mbits/s.

Si je lance de mon poste de travail un

ssh serveur.local

il se passe environ 4 à 6 secondes avant que celui-ci me réponde.

J'ai vérifié avec wireshark, mon poste de travail doit envoyer au moins 3 requêtes mdns (à une seconde d'intervalle) avant que le serveur daigne répondre.

Le fichier /etc/avahi/avahi-daemon.conf de mon serveur contient

jean-marie@serveur:/etc/avahi$ cat avahi-daemon.conf
# This file is part of avahi.
#
# avahi is free software; you can redistribute it and/or modify it
# under the terms of the GNU Lesser General Public License as
# published by the Free Software Foundation; either version 2 of the
# License, or (at your option) any later version.
#
# avahi is distributed in the hope that it will be useful, but WITHOUT
# ANY WARRANTY; without even the implied warranty of MERCHANTABILITY
# or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public
# License for more details.
#
# You should have received a copy of the GNU Lesser General Public
# License along with avahi; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307
# USA.

# See avahi-daemon.conf(5) for more information on this configuration
# file!

[server]
#host-name=foo (uses the 'hostname' name)
#domain-name=local
#browse-domains=0pointer.de, zeroconf.org
#use-ipv4=yes
use-ipv4=no
use-ipv6=yes
#allow-interfaces=eth0
allow-interfaces=ens5
#deny-interfaces=eth1
#check-response-ttl=no
#use-iff-running=no
#enable-dbus=yes
#disallow-other-stacks=no
#allow-point-to-point=no
#cache-entries-max=4096
#clients-max=4096
#objects-per-client-max=1024
#entries-per-entry-group-max=32
ratelimit-interval-usec=1000000
ratelimit-burst=1000

[wide-area]
#enable-wide-area=yes
enable-wide-area=no

[publish]
#disable-publishing=no
#disable-user-service-publishing=no
#add-service-cookie=no
#publish-addresses=yes
publish-hinfo=no
#publish-workstation=no
publish-workstation=yes
#publish-domain=yes
#publish-dns-servers=192.168.50.1, 192.168.50.2
#publish-resolv-conf-dns-servers=yes
#publish-aaaa-on-ipv4=yes
#publish-a-on-ipv6=no

[reflector]
#enable-reflector=no
#reflect-ipv=no

[rlimits]
#rlimit-as=
#rlimit-core=0
#rlimit-data=8388608
#rlimit-fsize=0
#rlimit-nofile=768
#rlimit-stack=8388608
#rlimit-nproc=3
jean-marie@serveur:/etc/avahi$

Pourquoi il ne répond pas instantanément ?

Alors que si je fais la même chose vers un macintosh, la réponse est quasi instantanée.

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 30/04/2019, à 08:38)


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#2 Le 21/04/2019, à 11:13

Brunod

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

On peut avoir un top du serveur ?


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#3 Le 21/04/2019, à 11:37

diesel

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Bonjour Brunod,

Tout d'abord, merci de t'intéresser à mon problème.

C'est quoi un "top" ?

Amicalement.

Jean-Marie


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#4 Le 21/04/2019, à 15:57

Brunod

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

C'est une commande à lancer en terminal pour voir ce que fait le cpu.
Si le serveur ne répond pas, c'est peut-être parce qu'il est occupé à autre chose.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#5 Le 21/04/2019, à 16:27

diesel

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

OK, encore une commande que je ne connaissais pas.

J'ai vérifié, sur ce serveur en cours de mise en place, il n'y a que 2 "services réseau" qui tournent :
- radvd,
- mdns.

En clair, il ne fout rien. Le proc est à moins de 1% de charge.

Le problème n'est donc pas là.

Cependant, j'ai un peu continué mes investigations. Après un reboot du serveur, ça s'est mis à fonctionner "à la bonne vitesse", puis ça s'est dégradé sans que je comprenne exactement pourquoi.

Je vais mettre le sujet en standby et je vais continuer à chercher un peu avant de reposer quelques questions.

Merci à ceux qui m'ont lu.

Amicalement.

Jean-Marie


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#6 Le 22/04/2019, à 08:46

Brunod

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Ce genre de signe se présente parfois lors d'une fuite de mémoire : une application déconne et bouffe finalement toute la mémoire sans jamais la libérer.
Cherche du côté de soft issus de dépôts exotiques dans la liste des services qui tournent.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#7 Le 22/04/2019, à 08:53

diesel

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Bonjour Brunod,

Sur le serveur, pour l'instant, il n'y a que ubuntu_minimal qui tourne.

M'étonnerait qu'il y ait des softs exotiques...

Amicalement.

Jean-Marie


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#8 Le 23/04/2019, à 18:51

diesel

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Bonsoir,

J'ai avancé.

Le problème (si c'en est un) est que mon serveur ne répond qu'en ipv6 et que mon PC de travail sous ubuntu 19.04 tout ce qu'il y a de plus standard envoie des requêtes mdns de type A (résolution de nom ipv4), à la fois sur l'adresse ipv4 224.0.0.251 et sur l'adresse ipv6 ff02::fb. Il fait ça trois fois à une seconde d'intervalle.

Puis, il envoie une requête de type AAAA (résolution de nom ipv6), à la fois sur l'adresse ipv4 224/0/0.251 et sur l'adresse ipv6 ff02::fb. Et le serveur répond alors quasi instantanément à cette requête.

Donc, finalement, le serveur va très bien et la question est : "pourquoi mon PC envoie-t-il des requêtes de type ipv4 sur des adresses ipv6".

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 23/04/2019, à 18:52)


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#9 Le 26/04/2019, à 18:22

iznobe

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Bonsoir ,

Il suffirait donc de leur accorder les violons big_smile

Le plus simple , a mon avis de simple amateur , est de tout passer en ipv4 , ca simplifie la gestion , c ' est largement suffisant pour que les 2 PC communique entre eux et se comprennent !
L ' ipv6 n ' apportant rien de plus a ce niveau la , ca ne  sert qu ' a avoir un plus grand nombre d' appareil connecté sur internet si j ' ai bien tout compris , mais c ' est bien plus complexe a gerer et a mettre en place de plus , le passage officiel et global n ' est pas encore fait .

Bonne soirée .


retour utilisable de commande
MSI Z490A-pro , i7 10700 , 32 GB RAM .

Hors ligne

#10 Le 30/04/2019, à 07:03

Spino1

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Du mDNS ( port 5353 ), c’est quand une recherche réseau se passe mal, c’est du faux DNS ( port 53 ).

Si la connexion revient uniquement en IPv4 ( double pile ), c’est probablement que le pare feu du serveur gère mal l’IPv6. Et quand on sait que les gens ont bien du mal à gérer leur pare feu, en cherchant la complication parfois avec Iptables, vu la généralisation proche de l’IPv6, ça ne va pas bien se passer.


Sur un autre topic récent il est vérifiable qu’il faut autoriser toutes les règles ICMP dans Iptables si on veut que IPv6 fonctionne correctement, le cousin Windows a pris les devants depuis longtemps, UFW gère le v4 et v6 en même temps.


PC assemblé - dual boot Ubuntu 18.04 LTS / Windows 10.

Hors ligne

#11 Le 30/04/2019, à 08:19

diesel

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

iznobe a écrit :

Bonsoir ,

Il suffirait donc de leur accorder les violons big_smile

Le plus simple , a mon avis de simple amateur , est de tout passer en ipv4 , ca simplifie la gestion , c ' est largement suffisant pour que les 2 PC communique entre eux et se comprennent !
L ' ipv6 n ' apportant rien de plus a ce niveau la , ca ne  sert qu ' a avoir un plus grand nombre d' appareil connecté sur internet si j ' ai bien tout compris , mais c ' est bien plus complexe a gerer et a mettre en place de plus , le passage officiel et global n ' est pas encore fait .

Bonne soirée .

Mon objectif est de passer mon réseau local en full ipv6.

Alors, le conseil de rester en ipv4...

Amicalement.

Jean-Marie


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#12 Le 30/04/2019, à 08:28

diesel

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Spino1 a écrit :

Du mDNS ( port 5353 ), c’est quand une recherche réseau se passe mal, c’est du faux DNS ( port 53 ).

Si la connexion revient uniquement en IPv4 ( double pile ), c’est probablement que le pare feu du serveur gère mal l’IPv6. Et quand on sait que les gens ont bien du mal à gérer leur pare feu, en cherchant la complication parfois avec Iptables, vu la généralisation proche de l’IPv6, ça ne va pas bien se passer.

Sur un autre topic récent il est vérifiable qu’il faut autoriser toutes les règles ICMP dans Iptables si on veut que IPv6 fonctionne correctement, le cousin Windows a pris les devants depuis longtemps, UFW gère le v4 et v6 en même temps.

Jusqu'à il y a peu, j'avais un serveur DNS sur mon réseau que j'ai désactivé.

mDNS (ou Bonjour, ou zéroconf), ça sert à résoudre les adresses locales et ce n'est pas du DNS "au rabais". En plus, si tu t'intéressais un peu au sujet, tu verrais que dans le fichier /etc/nsswitch, la recherche mDNS est positionnée avant la recherche DNS. Dans l'ordre :
- files (le fichier /etc/hosts),
- mDNS,
- DNS.

Si tu lisais un peu ce que j'écris, tu constaterais que c'est mon PC de travail (pas mon serveur) qui envoie des requêtes de type A (résolution d'adresses ipv4) sur une adresse ipv6. Je ne vois donc vraiment pas le rapport avec un éventuel pare-feu sur le serveur. Ah, oui, le serveur en question (en cours de construction) n'a pour l'instant aucune règle de pare-feu.

Enfin, je confirme que, contrairement à ipv4, il faut bien autoriser le trafic ICMP en ipv6. Par contre, je ne vois pas ce que le machin de Redmond a comme avantage par rapport à linux (ça se saurait). netfilter sait parfaitement gérer ipv6 et depuis longtemps. Les règle ipv4 s'écrivent "/sbin/iptables..." et les règles ipv6 s'écrivent "/sbin/ip6tables...". C'est aussi simple que ça.

Jean-Marie

Dernière modification par diesel (Le 30/04/2019, à 08:35)


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#13 Le 30/04/2019, à 09:23

Spino1

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

diesel83140 a écrit :
Spino1 a écrit :

Du mDNS ( port 5353 ), c’est quand une recherche réseau se passe mal, c’est du faux DNS ( port 53 ).

Si la connexion revient uniquement en IPv4 ( double pile ), c’est probablement que le pare feu du serveur gère mal l’IPv6. Et quand on sait que les gens ont bien du mal à gérer leur pare feu, en cherchant la complication parfois avec Iptables, vu la généralisation proche de l’IPv6, ça ne va pas bien se passer.

Sur un autre topic récent il est vérifiable qu’il faut autoriser toutes les règles ICMP dans Iptables si on veut que IPv6 fonctionne correctement, le cousin Windows a pris les devants depuis longtemps, UFW gère le v4 et v6 en même temps.

Jusqu'à il y a peu, j'avais un serveur DNS sur mon réseau que j'ai désactivé.

mDNS (ou Bonjour, ou zéroconf), ça sert à résoudre les adresses locales et ce n'est pas du DNS "au rabais". En plus, si tu t'intéressais un peu au sujet, tu verrais que dans le fichier /etc/nsswitch, la recherche mDNS est positionnée avant la recherche DNS. Dans l'ordre :
- files (le fichier /etc/hosts),
- mDNS,
- DNS.

Si tu lisais un peu ce que j'écris, tu constaterais que c'est mon PC de travail (pas mon serveur) qui envoie des requêtes de type A (résolution d'adresses ipv4) sur une adresse ipv6. Je ne vois donc vraiment pas le rapport avec un éventuel pare-feu sur le serveur. Ah, oui, le serveur en question (en cours de construction) n'a pour l'instant aucune règle de pare-feu.

Enfin, je confirme que, contrairement à ipv4, il faut bien autoriser le trafic ICMP en ipv6. Par contre, je ne vois pas ce que le machin de Redmond a comme avantage par rapport à linux (ça se saurait). netfilter sait parfaitement gérer ipv6 et depuis longtemps. Les règle ipv4 s'écrivent "/sbin/iptables..." et les règles ipv6 s'écrivent "/sbin/ip6tables...". C'est aussi simple que ça.

Jean-Marie




Je réponds uniquement pour informer ceux que ça intéresse.

Il faut autoriser ICMP en IPv4 aussi, le ping machin truc c’est de la blague, voir documentation Nmap pour approfondir, il faut autoriser au moins le retour du ping que l’on a demandé et destination inaccessible, et on ne va pas mourir, par contre si on ne le fait pas la connexion va souffrir.

Dans UFW ça donne ça :

ACCEPT     icmp --  anywhere             anywhere             icmp destination-unreachable
ACCEPT     icmp --  anywhere             anywhere             icmp time-exceeded
ACCEPT     icmp --  anywhere             anywhere             icmp parameter-problem
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request

Et tout va bien, IPv4 et IPv6, et si un méchant hacker s’aperçoit que le ping répond, aucun souci..

Dernière modification par Spino1 (Le 30/04/2019, à 09:25)


PC assemblé - dual boot Ubuntu 18.04 LTS / Windows 10.

Hors ligne

#14 Le 30/04/2019, à 09:54

diesel

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Spino1 a écrit :

...et si un méchant hacker s’aperçoit que le ping répond, aucun souci..

Ben..., si un méchant hacker n'a pas de réponse au ping (généralement, il commence par là), il va penser qu'il n'y a pas de machine à l'adresse qu'il a essayé et il ira voir ailleurs si j'y suis (il n'a pas forcement beaucoup de temps à perdre et des machines sur internet, c'est pas ça qui manque).

Si un méchant hacker a une réponse au ping, c'est certain que ce n'est pas avec ça qu'il va craquer ma machine, mais s'il a envie de s'y attaquer, il saura qu'elle est là et il s'y prendra avec d'autres outils bien plus méchants.

N'oublions jamais que nous ignorons les raisons pour lesquelles un hacker choisit de s'attaquer à une machine donnée (pour emmerder son propriétaire ; attaques en déni de service, pour y récupérer des données ; a priori, un particulier ne présente aucun intérêt, pour se constituer un "réseau" de machines compromises pour lancer des attaques en déni de service distribué, pour stocker et distribuer des fichiers interdits ; images pédophiles, autre...).

Donc aucun souci... Pour vivre heureux, vivons cachés.

Mais tu fais comme tu veux.

Jean-Marie

Dernière modification par diesel (Le 30/04/2019, à 10:01)


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#15 Le 30/04/2019, à 10:48

Spino1

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Toujours pour ceux que ça intéresse, se préoccuper du méchant ping avant de faire le maximum pour avoir une bonne connexion c’est lâcher la proie pour l’ombre.

Un hacker ne va pas pinguer toutes les IP possibles du net une par une avec Angry truc ou autre, et attendre qu’une d’entre elles réponde, il connaît votre IP s’il intéresse à vous, rien de plus facile, donc il va scanner vos ports et attendre le bon moment, ça n’arrive pas à tout le monde tous les jours…

Si vous n’êtes pas trop à l’aise pour gérer un pare feu sous Linux, surtout quand on a un serveur, c’est embêtant, croire qu’on est dans une démarche prioritaire en délaissant ICMP c’est une bourde.
Plutôt que de faire une erreur il vaut mieux faire appel à un professionnel, et pour Iptables sur un forum, prudence… beaucoup de recopieurs de scripts, préfèrez UFW ou même GUFW, configuration de base, bloquer tout, ouvrir le port x pour un serveur, et deux ou trois autres, terminé.

UFW gère Iptables avec une syntaxe plus simple, Iptables configure Netfilter, qui est le pare feu situé dans le noyau.
Donc, à  part par exemple si vous avez besoin de bricoler des paquets dans la table Mangle, direction UFW ou GUFW pour monsieur tout le monde.

Dernière modification par Spino1 (Le 30/04/2019, à 10:50)


PC assemblé - dual boot Ubuntu 18.04 LTS / Windows 10.

Hors ligne

#16 Le 30/04/2019, à 11:03

Spino1

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

J’oubliais, recevoir du 5353 si on n’a pas un truc genre Apple sur son PC, ce n’est pas forcément une bonne chose.


PC assemblé - dual boot Ubuntu 18.04 LTS / Windows 10.

Hors ligne

#17 Le 30/04/2019, à 12:50

diesel

Re : [ RESOLU... vu la tournure que ça prend ] Problème mdns

Spino1 a écrit :

J’oubliais, recevoir du 5353 si on n’a pas un truc genre Apple sur son PC, ce n’est pas forcément une bonne chose.

Tu vois que tu racontes n'importe quoi. sad

Cups s'appuie là-dessus. Dommage...

Jean-Marie


Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne