Impossible d'effectuer une requête DNS depuis mon serveur GAME avec la mitigation activ

Bonjour,

J'ai un problème sur mon serveur de la game "GAME". Lorsque je tente d'effectuer une requête DNS avec la mitigation activé et donc le firewall activé aussi les requêtes DNS ne passent pas. Par contre si je désactive cette mitigation je peux de nouveau effectuer des requêtes DNS.

J'ai essayé de debuguer le problème mais je ne vois plus d'où il peut provenir.

dig sur google:
> root@srv-atozia-1:~ # dig google.fr @1.1.1.1
> ; <<>> DiG 9.16.22-Debian <<>> google.fr @1.1.1.1
> ;; global options: +cmd
> ;; connection timed out; no servers could be reached

Règle de firewall:
> root@srv-1:~ # iptables -L -v -n
> Warning: iptables-legacy tables present, use iptables-legacy to see them
> Chain INPUT (policy ACCEPT 1003 packets, 204K bytes)
> pkts bytes target prot opt in out source destination

> Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source destination

> Chain OUTPUT (policy ACCEPT 379 packets, 95238 bytes)
> pkts bytes target prot opt in out source destination

le ping répond bien:
> root@srv-1:~ # ping 1.1.1.1
> PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
> 64 bytes from 1.1.1.1: icmp_seq=1 ttl=48 time=7.63 ms
> 64 bytes from 1.1.1.1: icmp_seq=2 ttl=48 time=7.90 ms
> 64 bytes from 1.1.1.1: icmp_seq=3 ttl=48 time=7.23 ms
> ^C
> — 1.1.1.1 ping statistics —
> 3 packets transmitted, 3 received, 0% packet loss, time 2004ms
> rtt min/avg/max/mdev = 7.231/7.587/7.901/0.275 ms

vérification que je peux accéder au port:
> root@srv-1:~ # nmap 1.1.1.1 -p 53
> Starting Nmap 7.80 ( https://nmap.org ) at 2021-11-26 01:37 CET
> Stats: 0:00:04 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
> Parallel DNS resolution of 1 host. Timing: About 0.00% done
> Nmap scan report for 1.1.1.1
> Host is up (0.0071s latency).

> PORT STATE SERVICE
> 53/tcp open domain
> Nmap done: 1 IP address (1 host up) scanned in 13.16 seconds

Firewall basique:

Firewall game:


Pour information aucun service ne tourne, j'ai fait mes tests avec l'ensemble de mes VM désactivé. Je vous avoue que je sèche un peu et que je n'arrive pas à comprendre l'origine du problème.

Si quelqu'un aurait une idée je suis preneur !
Merci d'avance.

Bonjour,

Vous avez pensé à ouvrir les flux UDP pour le DNS ?

Car cela ne semble pas être le cas d'après vos captures.

Note : la mitigation GAME fait TCP+UDP en bidirectionnel.

Cordialement, janus57

Bonjour @janus57,

Merci pour le retour rapide.

Non je n'ai rien ouvert car pour moi rien n'était filtré en sortit et je ne l'ai vu nul part dans la documentation (sauf erreur de ma part).

Donc si je comprends bien je dois autoriser le flux UDP sur le port 53 sur le firewall "game" vu qu'il n'y a que lui qui est censé bloqué en sortie ?

Le firewall normal ne bloque rien ?

J'ai tenté de faire les modification nécessaire mais ça ne même à rien. Est-ce que vous pourriez m'éclairer sur la/les règle(s) à ajouter ?

Merci pour votre aide.

Il faut autoriser les connexions UDP avec port source 53 pour pouvoir faire des requêtes DNS en dehors du rzo OVH.

Merci ça solutionne bien mon problème. Je ne savais pas que OVH faisait un filtrage aussi en sortit.

Merci à tous les deux pour votre aide.

Ils ne filtrent pas en sortie, mais là on est en UDP.
Le serveur balance sa requête en UDP vers le serveur DNS externe.
Puis le serveur DNS balance sa réponse dans une nouvelle connexion sur le port 53…

En mode TCP c'est celui qui initie la connexion qui compte pour les rules du parefeu.
En UDP on n'est pas en mode connecté. Qd le serveur répond il initie une nouvelle connexion…