Quels ports accepter/refuser - serveur VPS.

[ortolojf]

Bonjour

Mon site sous Nginx en IPv6, répond correctement à partir du serveur VPS, mais pas à partir de mon ordinateur.

En IPv4, tout baigne.

Le firewall maison que j'ai mis semble un peu foireux :

 iptables -L -n -v : ( quelques lignes expurgées ) : 
*********************************************************************************************************
Chain INPUT (policy ACCEPT 354 packets, 20039 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:1:19
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:1:19
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:24
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:23:24
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:26:52
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:26:52
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:54:67
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:54:67
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:69:79
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:69:79
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:81:109
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:81:109
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:111:118
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:111:118
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:120:122
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:120:122
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:124:142
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:124:142
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:144:219
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:221:442
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:144:219
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:221:442
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:444:464
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:444:464
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:466:562
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:466:562
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:564:586
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:564:586
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:588:992
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:588:992
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpts:996:1023
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpts:996:1023

*****************************************************************************************************************
 ip6tables -L -n -v : ( quelques lignes expurgées ) : 
*****************************************************************************************************************

chain INPUT (policy DROP 31 packets, 2284 bytes)
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:1:19
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:1:19
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpt:24
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:23:24
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:26:52
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:26:52
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:54:67
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:54:67
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:69:79
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:69:79
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:81:109
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:81:109
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:111:118
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:111:118
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:120:122
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:120:122
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:124:142
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:124:142
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:144:219
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:221:442
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:144:219
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:221:442
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:444:464
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:444:464
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:466:562
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:466:562
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:564:586
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:564:586
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:588:992
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:588:992
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpts:996:1023
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpts:996:1023
    0     0 DROP       tcp      *      *       ::/0                 ::/0                 tcp dpt:3215
    0     0 DROP       udp      *      *       ::/0                 ::/0                 udp dpt:3215

Je peux fournir le /etc/nginx/sites-available/pronostics-courses.fr.conf

De toute manière, le site répond en ipv4 et ipv6 à partir du VPS mais seulement en ipv4 par mon ordinateur.

A part çà, j'ai disposé la version complète de mon cache MySQL à mémoire partagée il y a environ 5 jours.

Merci de votre aide.

Amicalement.

 

[ortolojf]

Ajout :

J'y ai ajouté le paquet "nginx-extras" qui permet l'IPv6, mais rien n'y fait.

Le traceroute6 à partir de mon ordinateur :

[ortolojf@ortolojf ~]$ traceroute6  pronostics-courses.fr
traceroute to pronostics-courses.fr (2001:41d0:401:3200::2971), 30 hops max, 80 byte packets
 1  2a01:e34:ec2e:8b40::1 (2a01:e34:ec2e:8b40::1)  0.254 ms  0.388 ms  0.454 ms
 2  2a01:e00:18:666::d (2a01:e00:18:666::d)  1.892 ms * *
 3  2a01:e00:2a::5 (2a01:e00:2a::5)  2.731 ms  2.782 ms  2.701 ms
 4  be100-159.th2-1-a9.fr.eu (2001:41d0::541)  2.808 ms * *
 5  be100-1254.sbg-g1-nc5.fr.eu (2001:41d0::446)  12.590 ms  10.254 ms  12.954 ms
 6  vl100.sbg-d1-a75.fr.eu (2001:41d0::441)  8.259 ms  7.286 ms  7.358 ms
 7  be5.sbg-z2g1-a75.fr.eu (2001:41d0::538)  7.355 ms be5.sbg-z2g2-a75.fr.eu (2001:41d0::224)  7.253 ms be5.sbg-z2g1-a75.fr.eu (2001:41d0::538)  7.326 ms
 8  po5.sbg-z2b6-a70.fr.eu (2001:41d0:0:1:2:b6:1:0)  7.711 ms po7.sbg-z2b6-a70.fr.eu (2001:41d0:0:1:2:b6:2:0)  7.604 ms po5.sbg-z2b6-a70.fr.eu (2001:41d0:0:1:2:b6:1:0)  7.691 ms
 9  2001:41d0:401:b6::5 (2001:41d0:401:b6::5)  7.604 ms  7.627 ms  7.668 ms
10  * * *
11  pronostics-courses.fr (2001:41d0:401:3200::2971)  7.769 ms  7.786 ms  7.970 ms

Je reviens de suite avec un "ping6 free.fr" de mon VPS :

root@pronostics-courses:~# ping6 free.fr
PING free.fr(www.free.fr (2a01:e0c:1::1)) 56 data bytes
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=1 ttl=52 time=7.61 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=2 ttl=52 time=6.74 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=3 ttl=52 time=6.74 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=4 ttl=52 time=6.83 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=5 ttl=52 time=6.72 ms
64 bytes from www.free.fr (2a01:e0c:1::1): icmp_seq=6 ttl=52 time=6.75 ms

Probablement ma config réseau VPS.

Problème de routage ?

 

[ortolojf]

Cà marche.

C'était un problème de firewall.

J'ai converti les règles IPv6 de "default ACCEPT" en "default DROP" et ouvert au lieu de fermer les ports, ce qui réduit aussi le nombre de règles.

J'ai vérifié en activant ma config ipv6 de mon ordi.

Merci de vérifier vous aussi ( en ipv6 ) :

https://www.pronostics-courses.fr

J'ai également remis la gestion cookie GA_Cookie_Consent en mode opt-in.

Théoriquement, celà veut dire que si les visiteurs n'acceptent pas explicitement, aucun cookie n'est déposé.

J'avais vu sur le net, qu'à la suite de la décision d'une cours d'appel, la position de la CNIL est désormais en faveur de l'opt-in.

Je ne me souviens plus du lien.

Amicalement.

 

[rollback]

https://test-ipv6.com/
(en général quand même dans la route il y a toujours un truc qui ne supporte pas IP6)