Ubuntu-fr

bruno

Re : [resolu] Pas de connexion réseau filaire

Hormis l’absence d'IPv6 (idiot mais non bloquant) et des métriques curieuses pour les routes je ne vois rien d'anormal.

Edit : c'est quand même pas normal ces valeurs de métriques pour les routes. Ça sent le bidouillage…
Pour remettre les choses en place :

nmcli connection modify Profil\ 1 ipv4.route-metric 100
nmcli connection down  Profil\ 1
nmcli connection up Profil\ 1

Si les commandes ping pour tester la connectivité IP vers l'extérieur, exemple :

ping -c2 1.1.1.1

et host pour tester la résolution de nom, exemple :

host ubuntu-fr.org

échoue toujours il faudra envisager un blocage à un autre niveau. Un pare-feu inutile et mal réglé ? À vérifier dans un premier temps avec :

sudo ufw status

Dernière modification par bruno (Le 10/11/2023, à 18:12)

Caille Rotie

Re : [resolu] Pas de connexion réseau filaire

Chers tous,

J'ai redémarré la freebox, j'ai redémarré ubuntu > pas mieux.

J'ai tenter de regroupper ici toutes les commandes que j'ai trouvé éclairante sur le problème.
(note : j'ai renommé mon profil de connexion filaire pour pas me galérer avec un espace)

cendre@logrus:~$ nmcli connection modify Profil ipv4.route-metric 100
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ nmcli connection down Profil
Connexion « Profil » désactivée (chemin D-Bus actif : /org/freedesktop/NetworkManager/ActiveConnection/2)
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ nmcli connection up Profil
Connexion activée (chemin D-Bus actif : /org/freedesktop/NetworkManager/ActiveConnection/3)
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ sudo ufw status
État : inactif
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ wget https://mafreebox.freebox.fr/
--2023-11-11 18:50:33--  https://mafreebox.freebox.fr/
Résolution de mafreebox.freebox.fr (mafreebox.freebox.fr)… échec : Nom ou service inconnu.
wget : impossible de résoudre l’adresse de l’hôte ‘mafreebox.freebox.fr’
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ping -c2 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.

--- 1.1.1.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1007ms

cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ping -c2 212.27.38.253
PING 212.27.38.253 (212.27.38.253) 56(84) bytes of data.

--- 212.27.38.253 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1015ms

cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ping -c2 192.168.0.254
PING 192.168.0.254 (192.168.0.254) 56(84) bytes of data.

--- 192.168.0.254 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1015ms

cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ping -c2 127.0.0.53
PING 127.0.0.53 (127.0.0.53) 56(84) bytes of data.

--- 127.0.0.53 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1023ms

cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ping -c2 192.168.0.36
PING 192.168.0.36 (192.168.0.36) 56(84) bytes of data.

--- 192.168.0.36 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1023ms

cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ sudo NetworkManager --debug
<info>  [1699725154.5572] NetworkManager (version 1.36.6) is starting... (after a restart)
<info>  [1699725154.5573] Read config: /etc/NetworkManager/NetworkManager.conf (lib: 10-dns-resolved.conf, 20-connectivity-ubuntu.conf, no-mac-addr-change.conf) (run: 10-globally-managed-devices.conf) (etc: default-wifi-powersave-on.conf)
<error> [1699725154.5596] bus-manager: fatal failure to acquire D-Bus service "org.freedesktop.NetworkManager" (3). Service already taken
<info>  [1699725154.5597] exiting (error)
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ip route
default via 192.168.0.254 dev eno1 proto dhcp metric 20100 
169.254.0.0/16 dev eno1 scope link metric 1000 
192.168.0.0/24 dev eno1 proto kernel scope link src 192.168.0.36 metric 100 
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ nmcli
eno1: connecté à Profil
        "Intel 82579V"
        ethernet (e1000e), 38:60:77:05:69:63, hw, mtu 1500
        ip4 par défaut
        inet4 192.168.0.36/24
        route4 192.168.0.0/24 metric 100
        route4 default via 192.168.0.254 metric 20100
        route4 169.254.0.0/16 metric 1000
        inet6 fe80::6d66:1a2:bed:98b5/64
        route6 fe80::/64 metric 1024

lo: non-géré
        "lo"
        loopback (unknown), 00:00:00:00:00:00, sw, mtu 65536

DNS configuration:
        servers: 192.168.0.254
        interface: eno1

Utilisez « nmcli device show » pour obtenir des informations complètes sur les périphériques connus et « nmcli connection show » >

Consultez les pages de manuel nmcli(1) et nmcli-examples(7) pour les détails complets d'utilisation.
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ resolvectl
Global
       Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub

Link 2 (eno1)
    Current Scopes: DNS
         Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 192.168.0.254
       DNS Servers: 192.168.0.254
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ dig
;; communications error to 127.0.0.53#53: timed out
;; communications error to 127.0.0.53#53: timed out
;; communications error to 127.0.0.53#53: timed out

; <<>> DiG 9.18.18-0ubuntu0.22.04.1-Ubuntu <<>>
;; global options: +cmd
;; no servers could be reached

cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ cat /etc/resolv.conf
# This is /run/systemd/resolve/stub-resolv.conf managed by man:systemd-resolved(8).
# Do not edit.
#
# This file might be symlinked as /etc/resolv.conf. If you're looking at
# /etc/resolv.conf and seeing this text, you have followed the symlink.
#
# This is a dynamic resolv.conf file for connecting local clients to the
# internal DNS stub resolver of systemd-resolved. This file lists all
# configured search domains.
#
# Run "resolvectl status" to see details about the uplink DNS servers
# currently in use.
#
# Third party programs should typically not access this file directly, but only
# through the symlink at /etc/resolv.conf. To manage man:resolv.conf(5) in a
# different way, replace this symlink by a static file or a different symlink.
#
# See man:systemd-resolved.service(8) for details about the supported modes of
# operation for /etc/resolv.conf.

nameserver 127.0.0.53
options edns0 trust-ad
search .
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 38:60:77:05:69:63 brd ff:ff:ff:ff:ff:ff
    altname enp0s25
    inet 192.168.0.36/24 brd 192.168.0.255 scope global dynamic noprefixroute eno1
       valid_lft 42991sec preferred_lft 42991sec
    inet6 fe80::6d66:1a2:bed:98b5/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
cendre@logrus:~$ 

Si je comprends bien en français :
* J'ai une IP4 192.168.0.36
* ma freebox ne donne pas de IP6
* DNS est configuré sur 192.168.0.254 qui ne répond pas (timeout)
* esolv.conf est configuré sur 127.0.0.53 qui ne répond pas (timeout)
* j'ai pas compris à quoi sert 212.27.38.253 et pourquoi Bruno m'a proposé de vérifier cette IP
* J'ai pas de pare-feu ( ufw État : inactif )
* J'avais beaucoup de packets cassé (rc) après la montée de version, on les a récupéré (voir #13)

dpkg -l | awk '/^rc/ && !/sql/{print $2}' | xargs -r sudo dpkg -P

Pour avoir une vue globale de ce qui a été exminé, je liste ci dessous les commandes passées :

cendre@logrus:~$ nmcli connection modify Profil ipv4.route-metric 100
cendre@logrus:~$ nmcli connection down Profil
cendre@logrus:~$ nmcli connection up Profil
cendre@logrus:~$ sudo ufw status
cendre@logrus:~$ wget https://mafreebox.freebox.fr/
cendre@logrus:~$ ping -c2 1.1.1.1
cendre@logrus:~$ ping -c2 212.27.38.253
cendre@logrus:~$ ping -c2 192.168.0.254
cendre@logrus:~$ ping -c2 127.0.0.53
cendre@logrus:~$ ping -c2 192.168.0.36
cendre@logrus:~$ sudo NetworkManager --debug
cendre@logrus:~$ ip route
cendre@logrus:~$ nmcli
cendre@logrus:~$ resolvectl
cendre@logrus:~$ dig
cendre@logrus:~$ cat /etc/resolv.conf
cendre@logrus:~$ ip a
cendre@logrus:~$ 

( j'vais en faire un exécutable, tiens. )

matrix-bx

Re : [resolu] Pas de connexion réseau filaire

Bonsoir Caille Rotie

* J'ai pas de pare-feu ( ufw État : inactif )

Alors, j'aimerais bien voir le résultat de cette commande pour en être bien sûr stp.

sudo iptables -L -n || sudo nft list ruleset

---

Utilisations des balises de mises en formes.

bruno

Re : [resolu] Pas de connexion réseau filaire

+1 avec matrix-bx

Sur les retours de commandes, c'est difficile de te suivre… Ce serait plus clair si les commandes étaient donnée une par une.
Pour celle-ci :

sudo NetworkManager --debug

il m'avait semblé avoir dit que c'était une ânerie. NetworkManager est lancé par systemd, il ne faut donc pas tenter de le lancer directement. Il faut utiliser systemctl.

212.27.38.253 est l'adresse publique des freebox :

$ dig +short mafreebox.freebox.fr
freeplayer.freebox.fr.
212.27.38.253

ma freebox ne donne pas de IP6

C'est possible si tu as désactivé IPV6 sur ta machine, si tu as modifié les réglages IPv6 sur la Freebox, ou alors c'est que tu n'es pas relié à la Freebox. Où est branché ton câble Ethernet ?

Dernière modification par bruno (Le 11/11/2023, à 19:52)

PPdM

Re : [resolu] Pas de connexion réseau filaire

je trouve que l'adressage de retour est bizarre pour un Freebox
et ça c'est pire

--- 192.168.0.254 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1015ms

on n'a pas de connexion à la Freebox
sur un poste qui a accès à la Freebox peux-tu donner les retours de

ip -a

si Linux
ou

ipconfig

sous windows

Dernière modification par PPdM (Le 12/11/2023, à 11:21)

---

La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

matrix-bx

Re : [resolu] Pas de connexion réseau filaire

Bonsoir,

perso c'est celui-ci qui m'interroge beaucoup.

cendre@logrus:~$ ping -c2 127.0.0.53
...
2 packets transmitted, 0 received, 100% packet loss, time 1023ms

Parce que c'est pas normal du tout, ça doit répondre sur n'importe quoi en 127.

$ ping -c1 127.123.234.42
...
1 packets transmitted, 1 received, 0% packet loss, time 0ms

Sauf quand on a un truc du genre.

$ sudo iptables -L 
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
$ ping -c1 -w1 127.123.234.42
PING 127.123.234.42 (127.123.234.42) 56(84) bytes of data.

--- 127.123.234.42 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms
$

Dernière modification par matrix-bx (Le 11/11/2023, à 22:32)

---

Utilisations des balises de mises en formes.

bruno

Re : [resolu] Pas de connexion réseau filaire

Oui bien vu, ce retour m'avait échappé :

ping -c2 127.0.0.53
PING 127.0.0.53 (127.0.0.53) 56(84) bytes of data.

--- 127.0.0.53 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1023ms

Effectivement cela ne paraît pas possible sans un parte-feu qui bloque tout. On attend donc uniquement le retour demandé par matrix-bx au #28.

---
Pour information toutes les adresses de la plage 127.0.0.0-127.255.255.255 (127.0.0.0/8) correspondent à l'interface de bouclage (lo ou loopback) de la machine locale.

---
@PPdM : ma commande ifconfig est obsolète, elle fait partie du paquet net-tools qui n'est plus installé par défaut. Il faut utiliser la commande ip

xubu1957

Re : [resolu] Pas de connexion réseau filaire

[HS]   

Bonjour,

@PPdM

Des échanges anciens avec les explications de bruno.

  [/HS]

---

Conseils pour les nouveaux demandeurs et pas qu'eux
Important : Pensez à passer vos sujets en [Réso|u] lorsque ceux-ci le sont, au début du titre en cliquant sur Modifier sous le premier message, et un bref récapitulatif de la solution à la fin de celui-ci. Merci.                   Membre de Linux-Azur

matrix-bx

Re : [resolu] Pas de connexion réseau filaire

Salut,
autre HS, méfiez vous avec 1.1.1.1, notamment chez Orange, c'est la box qui répond, préférez 1.0.0.1.

$ (ping -q -c5 1.1.1.1 ; ping -q -c5 1.0.0.1 ) | grep rtt
rtt min/avg/max/mdev = 0.731/0.966/1.242/0.195 ms
rtt min/avg/max/mdev = 15.367/15.593/15.757/0.166 ms
$

Dernière modification par matrix-bx (Le 12/11/2023, à 09:08)

---

Utilisations des balises de mises en formes.

PPdM

Re : [resolu] Pas de connexion réseau filaire

---
@PPdM : ma commande ifconfig est obsolète, elle fait partie du paquet net-tools qui n'est plus installé par défaut. Il faut utiliser la commande ip

Chez moi, c'est le contraire, je suis en XUbuntu Voyager 22.04.

---

La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

bruno

Re : [resolu] Pas de connexion réseau filaire

@PPdM : ce n'est pas une variante officielle mais cela m'étonnerait beaucoup que iproute2 ne soit pas installé. Le paquet net-tools qui contient entre autres l'utilitaire ifconfig n'est plus installé par défaut ni sur Debian, ni sur Ubuntu depuis au moins trois versions LTS. En outre cette commande est déconseillée depuis plus de dix ans. Je sais que les habitudes ont la vie dure mais il serait temps de se mettre à jour…

PPdM

Re : [resolu] Pas de connexion réseau filaire

Sans doute, mais perso, je préfère le résultat de ifconfig que celui de ip  dans les cas comme celui-ci, mais je vais me mettre à jour !

J'ai corrigé !

Dernière modification par PPdM (Le 12/11/2023, à 11:27)

---

La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

Caille Rotie

Re : [resolu] Pas de connexion réseau filaire

Merci Bruno, Matrix-bx, PPdM, xubu1957 et Nany

Même si il y a une commande sur deux que je ne comprends pas, mes erreurs, vos corrections et vos remarques m'apprennent plein de truc ! ^_^

Pour la mise en forme des commandes, oui, plusieurs blocs c'est vachement mieux, j'aurais du y penser (mais j'avoue, jongler avec plusieurs machines pour copier/coller sans réseau, ça me grille quelques neurones, j'ai fini par m'installer un éditeur de texte sur mon fairphone, je pense que c'est pas perdu !)
Et puis, ça me fait travailler mon BBCode

Où est branché ton câble Ethernet ?

Dans une prise murale qu'on a fait poser dans notre appartement. Les ouvriers étaient pas des flèches (sur les deux prises dans le mur, y'en a une qui marche pas), mais comme le windows sur la même machine a la même prise, j'avais écarté cette possibilité.
Mais j'ai quand même débranché/rebhanché (ça coute pas cher)

Parce que c'est pas normal du tout, ça doit répondre sur n'importe quoi en 127. Sauf quand on a un truc du genre  [mono]xx[/mono]

J'ai un truc du genre :

cendre@logrus:~$ sudo iptables -L -n || sudo nft list ruleset
Chain INPUT (policy DROP)
target     prot opt source               destination         

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

cendre@logrus:~$ sudo nft list ruleset > ruleset.txt

table ip filter {
	chain INPUT {
		type filter hook input priority filter; policy drop;
	}

	chain OUTPUT {
		type filter hook output priority filter; policy accept;
	}

	chain FORWARD {
		type filter hook forward priority filter; policy drop;
	}
}
table ip6 filter {
	chain INPUT {
		type filter hook input priority filter; policy drop;
	}

	chain OUTPUT {
		type filter hook output priority filter; policy accept;
	}

	chain FORWARD {
		type filter hook forward priority filter; policy drop;
	}
}
table inet firewalld {
	chain mangle_PREROUTING {
		type filter hook prerouting priority mangle + 10; policy accept;
		jump mangle_PREROUTING_ZONES
	}

	chain mangle_PREROUTING_POLICIES_pre {
		jump mangle_PRE_policy_allow-host-ipv6
	}

	chain mangle_PREROUTING_ZONES {
		iifname "eno1" goto mangle_PRE_public
		goto mangle_PRE_public
	}

	chain mangle_PREROUTING_POLICIES_post {
	}

	chain nat_PREROUTING {
		type nat hook prerouting priority dstnat + 10; policy accept;
		jump nat_PREROUTING_ZONES
	}

	chain nat_PREROUTING_POLICIES_pre {
		jump nat_PRE_policy_allow-host-ipv6
	}

	chain nat_PREROUTING_ZONES {
		iifname "eno1" goto nat_PRE_public
		goto nat_PRE_public
	}

	chain nat_PREROUTING_POLICIES_post {
	}

	chain nat_POSTROUTING {
		type nat hook postrouting priority srcnat + 10; policy accept;
		jump nat_POSTROUTING_ZONES
	}

	chain nat_POSTROUTING_POLICIES_pre {
	}

	chain nat_POSTROUTING_ZONES {
		oifname "eno1" goto nat_POST_public
		goto nat_POST_public
	}

	chain nat_POSTROUTING_POLICIES_post {
	}

	chain nat_OUTPUT {
		type nat hook output priority -90; policy accept;
		jump nat_OUTPUT_POLICIES_pre
		jump nat_OUTPUT_POLICIES_post
	}

	chain nat_OUTPUT_POLICIES_pre {
	}

	chain nat_OUTPUT_POLICIES_post {
	}

	chain filter_PREROUTING {
		type filter hook prerouting priority filter + 10; policy accept;
		icmpv6 type { nd-router-advert, nd-neighbor-solicit } accept
		meta nfproto ipv6 fib saddr . mark . iif oif missing drop
	}

	chain filter_INPUT {
		type filter hook input priority filter + 10; policy accept;
		ct state { established, related } accept
		ct status dnat accept
		iifname "lo" accept
		jump filter_INPUT_ZONES
		ct state invalid drop
		reject with icmpx admin-prohibited
	}

	chain filter_FORWARD {
		type filter hook forward priority filter + 10; policy accept;
		ct state { established, related } accept
		ct status dnat accept
		iifname "lo" accept
		ip6 daddr { ::/96, ::ffff:0.0.0.0/96, 2002::/24, 2002:a00::/24, 2002:7f00::/24, 2002:a9fe::/32, 2002:ac10::/28, 2002:c0a8::/32, 2002:e000::/19 } reject with icmpv6 addr-unreachable
		jump filter_FORWARD_ZONES
		ct state invalid drop
		reject with icmpx admin-prohibited
	}

	chain filter_OUTPUT {
		type filter hook output priority filter + 10; policy accept;
		ct state { established, related } accept
		oifname "lo" accept
		ip6 daddr { ::/96, ::ffff:0.0.0.0/96, 2002::/24, 2002:a00::/24, 2002:7f00::/24, 2002:a9fe::/32, 2002:ac10::/28, 2002:c0a8::/32, 2002:e000::/19 } reject with icmpv6 addr-unreachable
		jump filter_OUTPUT_POLICIES_pre
		jump filter_OUTPUT_POLICIES_post
	}

	chain filter_INPUT_POLICIES_pre {
		jump filter_IN_policy_allow-host-ipv6
	}

	chain filter_INPUT_ZONES {
		iifname "eno1" goto filter_IN_public
		goto filter_IN_public
	}

	chain filter_INPUT_POLICIES_post {
	}

	chain filter_FORWARD_POLICIES_pre {
	}

	chain filter_FORWARD_ZONES {
		iifname "eno1" goto filter_FWD_public
		goto filter_FWD_public
	}

	chain filter_FORWARD_POLICIES_post {
	}

	chain filter_OUTPUT_POLICIES_pre {
	}

	chain filter_OUTPUT_POLICIES_post {
	}

	chain filter_IN_public {
		jump filter_INPUT_POLICIES_pre
		jump filter_IN_public_pre
		jump filter_IN_public_log
		jump filter_IN_public_deny
		jump filter_IN_public_allow
		jump filter_IN_public_post
		jump filter_INPUT_POLICIES_post
		meta l4proto { icmp, ipv6-icmp } accept
		reject with icmpx admin-prohibited
	}

	chain filter_IN_public_pre {
	}

	chain filter_IN_public_log {
	}

	chain filter_IN_public_deny {
	}

	chain filter_IN_public_allow {
		tcp dport 22 ct state { new, untracked } accept
		ip6 daddr fe80::/64 udp dport 546 ct state { new, untracked } accept
	}

	chain filter_IN_public_post {
	}

	chain nat_POST_public {
		jump nat_POSTROUTING_POLICIES_pre
		jump nat_POST_public_pre
		jump nat_POST_public_log
		jump nat_POST_public_deny
		jump nat_POST_public_allow
		jump nat_POST_public_post
		jump nat_POSTROUTING_POLICIES_post
	}

	chain nat_POST_public_pre {
	}

	chain nat_POST_public_log {
	}

	chain nat_POST_public_deny {
	}

	chain nat_POST_public_allow {
	}

	chain nat_POST_public_post {
	}

	chain filter_FWD_public {
		jump filter_FORWARD_POLICIES_pre
		jump filter_FWD_public_pre
		jump filter_FWD_public_log
		jump filter_FWD_public_deny
		jump filter_FWD_public_allow
		jump filter_FWD_public_post
		jump filter_FORWARD_POLICIES_post
		reject with icmpx admin-prohibited
	}

	chain filter_FWD_public_pre {
	}

	chain filter_FWD_public_log {
	}

	chain filter_FWD_public_deny {
	}

	chain filter_FWD_public_allow {
		oifname "eno1" accept
	}

	chain filter_FWD_public_post {
	}

	chain nat_PRE_public {
		jump nat_PREROUTING_POLICIES_pre
		jump nat_PRE_public_pre
		jump nat_PRE_public_log
		jump nat_PRE_public_deny
		jump nat_PRE_public_allow
		jump nat_PRE_public_post
		jump nat_PREROUTING_POLICIES_post
	}

	chain nat_PRE_public_pre {
	}

	chain nat_PRE_public_log {
	}

	chain nat_PRE_public_deny {
	}

	chain nat_PRE_public_allow {
	}

	chain nat_PRE_public_post {
	}

	chain mangle_PRE_public {
		jump mangle_PREROUTING_POLICIES_pre
		jump mangle_PRE_public_pre
		jump mangle_PRE_public_log
		jump mangle_PRE_public_deny
		jump mangle_PRE_public_allow
		jump mangle_PRE_public_post
		jump mangle_PREROUTING_POLICIES_post
	}

	chain mangle_PRE_public_pre {
	}

	chain mangle_PRE_public_log {
	}

	chain mangle_PRE_public_deny {
	}

	chain mangle_PRE_public_allow {
	}

	chain mangle_PRE_public_post {
	}

	chain filter_IN_policy_allow-host-ipv6 {
		jump filter_IN_policy_allow-host-ipv6_pre
		jump filter_IN_policy_allow-host-ipv6_log
		jump filter_IN_policy_allow-host-ipv6_deny
		jump filter_IN_policy_allow-host-ipv6_allow
		jump filter_IN_policy_allow-host-ipv6_post
	}

	chain filter_IN_policy_allow-host-ipv6_pre {
	}

	chain filter_IN_policy_allow-host-ipv6_log {
	}

	chain filter_IN_policy_allow-host-ipv6_deny {
	}

	chain filter_IN_policy_allow-host-ipv6_allow {
		icmpv6 type nd-neighbor-advert accept
		icmpv6 type nd-neighbor-solicit accept
		icmpv6 type nd-router-advert accept
		icmpv6 type nd-redirect accept
	}

	chain filter_IN_policy_allow-host-ipv6_post {
	}

	chain nat_PRE_policy_allow-host-ipv6 {
		jump nat_PRE_policy_allow-host-ipv6_pre
		jump nat_PRE_policy_allow-host-ipv6_log
		jump nat_PRE_policy_allow-host-ipv6_deny
		jump nat_PRE_policy_allow-host-ipv6_allow
		jump nat_PRE_policy_allow-host-ipv6_post
	}

	chain nat_PRE_policy_allow-host-ipv6_pre {
	}

	chain nat_PRE_policy_allow-host-ipv6_log {
	}

	chain nat_PRE_policy_allow-host-ipv6_deny {
	}

	chain nat_PRE_policy_allow-host-ipv6_allow {
	}

	chain nat_PRE_policy_allow-host-ipv6_post {
	}

	chain mangle_PRE_policy_allow-host-ipv6 {
		jump mangle_PRE_policy_allow-host-ipv6_pre
		jump mangle_PRE_policy_allow-host-ipv6_log
		jump mangle_PRE_policy_allow-host-ipv6_deny
		jump mangle_PRE_policy_allow-host-ipv6_allow
		jump mangle_PRE_policy_allow-host-ipv6_post
	}

	chain mangle_PRE_policy_allow-host-ipv6_pre {
	}

	chain mangle_PRE_policy_allow-host-ipv6_log {
	}

	chain mangle_PRE_policy_allow-host-ipv6_deny {
	}

	chain mangle_PRE_policy_allow-host-ipv6_allow {
	}

	chain mangle_PRE_policy_allow-host-ipv6_post {
	}
}

note : J'ai pas compris ce que faisait le `||`, alors j'ai lancé la commande toute seule et ça m'a donné 350 lignes.

je trouve que l'adressage de retour est bizarre pour un Freebox et ça c'est pire

cendre@logrus:~$ ping -c2 192.168.0.254
PING 192.168.0.254 (192.168.0.254) 56(84) bytes of data.

--- 192.168.0.254 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1031ms

sur un poste qui a accès à la Freebox peux-tu donner les retours de ipconfig

Microsoft Windows [version 6.1.7601]
C:\Users\Cendre>ipconfig

Configuration IP de Windows

Carte inconnue Connexion au réseau local 2 :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :

Carte Ethernet Connexion au réseau local :

   Suffixe DNS propre à la connexion. . . :
   Adresse IPv6. . . . . . . . . . . . . .: 2a01:e0a:21d:5d20:3d05:afd6:350f:25db
   Adresse IPv6 temporaire . . . . . . . .: 2a01:e0a:21d:5d20:748f:619a:19e0:122f
   Adresse IPv6 de liaison locale. . . . .: fe80::3d05:afd6:350f:25db%11
   Adresse IPv4. . . . . . . . . . . . . .: 192.168.0.36
   Masque de sous-réseau. . . . . . . . . : 255.255.255.0
   Passerelle par défaut. . . . . . . . . : fe80::3627:92ff:fe65:4c9c%11
                                       192.168.0.254

Carte Tunnel isatap.{CF078B7E-1E7E-4F67-B852-CEDEBE1EF4E4} :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :

Carte Tunnel isatap.{77389A6B-C609-44E3-ACBE-9FECA33BC436} :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :

Carte Tunnel Teredo Tunneling Pseudo-Interface :

   Statut du média. . . . . . . . . . . . : Média déconnecté
   Suffixe DNS propre à la connexion. . . :

C:\Users\Cendre>

Pour information toutes les adresses de la plage 127.0.0.0-127.255.255.255 (127.0.0.0/8) correspondent à l'interface de bouclage (lo ou loopback) de la machine locale.

Si je comprends bien, c'est pas eno1 qui doit y répondre, mais lo.
Ça veut dire qu'on va même pas jusqu'un DNS de eno1 ? (192.168.0.254, c'est du réseau local, je me trompe ?)

cendre@logrus:~$ resolvectl status
Global
       Protocols: -LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
resolv.conf mode: stub

Link 2 (eno1)
    Current Scopes: DNS
         Protocols: +DefaultRoute +LLMNR -mDNS -DNSOverTLS DNSSEC=no/unsupported
Current DNS Server: 192.168.0.254
       DNS Servers: 192.168.0.254
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ping -c2 127.0.0.53
PING 127.0.0.53 (127.0.0.53) 56(84) bytes of data.

--- 127.0.0.53 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 1008ms
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ping -c1 127.123.234.42
PING 127.123.234.42 (127.123.234.42) 56(84) bytes of data.

--- 127.123.234.42 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

ma commande ifconfig est obsolète, elle fait partie du paquet net-tools qui n'est plus installé par défaut. Il faut utiliser la commande ip
Chez moi, c'est le contraire,

Du coup, j'ai regardé les deux, y'a pas exactement les mêmes infos.
Et `iproute2` ne répond pas, c'est grave ?

cendre@logrus:~$ ifconfig
eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.36  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::6d66:1a2:bed:98b5  prefixlen 64  scopeid 0x20<link>
        ether 38:60:77:05:69:63  txqueuelen 1000  (Ethernet)
        RX packets 22604  bytes 4262749 (4.2 MB)
        RX errors 0  dropped 36  overruns 0  frame 0
        TX packets 3086  bytes 318739 (318.7 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 20  memory 0xf7200000-f7220000  

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Boucle locale)
        RX packets 20134  bytes 1484836 (1.4 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 20134  bytes 1484836 (1.4 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 38:60:77:05:69:63 brd ff:ff:ff:ff:ff:ff
    altname enp0s25
    inet 192.168.0.36/24 brd 192.168.0.255 scope global dynamic noprefixroute eno1
       valid_lft 41804sec preferred_lft 41804sec
    inet6 fe80::6d66:1a2:bed:98b5/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever
       
cendre@logrus:~$ 
cendre@logrus:~$ 
cendre@logrus:~$ iproute2
iproute2 : commande introuvable
cendre@logrus:~$ 

depuis au moins trois versions LTS

J'ai pas fais de fresh install depuis .... je sais plus c'est trop loin, mais peut être plus de 3 versions LTS. (Par contre, je monte de LTS tous les deux ans quand même)
Ma dernière sauvegarde de /etc date de 2017. (P'être que j'aurais du en refaire une avant de monter en 22.4)

Sur ce, demain, je m'imprime la doc sur comment faire une fresh install sans perdre mon double boot, et ça sera réglé, j'ai même un nouveau SSD pour y mettre l'ubuntu ça sera très très bien. C'est juste que c'est toujours très pénible d'ouvrir mon PC pour rajouter des disques sans que je me perde ou
(c'est là que je remercie mon compagnon de m'avoir fait mettre des partitions et des disques séparés pour tous, en particulier toutes les données perso, pas de récup à faire)

Le disque actuel qui héberge l'ubuntu est un peu petit (100 Go) et m'a déjà donné des signes de faiblesse (réparation que j'ai pas bien compris quoi), donc je vais déménager ça au passage.

bruno

Re : [resolu] Pas de connexion réseau filaire

Là je n'ai pas le temps de regarder en détail mais il y a bien un pare-feu (friewalld) qui bloque absolument tout le trafic avec nftables. Le mieux serait de désinstaller ce machin inutile sur un poste de travail.

matrix-bx

Re : [resolu] Pas de connexion réseau filaire

Salut Caille Rotie

Bon, ben c'est perdu pour le "J'ai pas de pare-feu" ( )
INPUT et FORWARD en policy DROP et rien dedans, ça explique bien.

$ sudo iptables -P INPUT ACCEPT
$ sudo iptables -P FORWARD ACCEPT

devraient rétablir la situation.
À ta charge de reconfigurer le firewall selon tes besoins.

Le "||" est un "ou", si la 1ere commande ne passe pas (iptables pas installé par exemple), ça fait la seconde.

Mais je n'avais pas pensé qu'on aurait pas la vision IPv6 (que donne nft, avec du policy à DROP aussi visiblement), du coup tu nous montrerais ceci stp ?

$ sudo ip6tables -L

Dernière modification par matrix-bx (Le 12/11/2023, à 13:09)

---

Utilisations des balises de mises en formes.

bruno

Re : [resolu] Pas de connexion réseau filaire

Attention, apparement le pare-feu fonctionne avec nftables et non iptables (les deux peuvent cohabiter). Pour être sûr supprimer toutes les règles:

sudo nft flush ruleset

sudo iptables -F

Mais je conseille plutôt une suppression préalable de firewalld :

sudo systemctl stop firewalld
sudo apt purge firewalld

Ensuite il faudra vérifier le contenu du fichier /etc/nftables.conf

PPdM

Re : [resolu] Pas de connexion réseau filaire

Je pense que tu as trouvé la bonne solution!

---

La critique est facile, mais l'art est difficile !
L'humanité étant ce qu'elle est, la liberté ne sera jamais un acquit, mais toujours un droit à défendre !
Pour résoudre un problème commence par poser les bonnes questions, la bonne solution en découlera

matrix-bx

Re : [resolu] Pas de connexion réseau filaire

iptables -F, vide les règles mais ne change pas la policy.
Sur ma machine, quand je change une policy avec iptables, c'est immédiatement visible dans nft, ce qui me semble tout à fait logique et normal.
De ce que j'en ai compris, le firewall c'est Netfilter, iptables ou nft ne sont que des outils de manipulations/définitions des règles appliquées par Netfilter.
ufw quand à lui, ne gère que SES règles et ne touche en principe pas aux autres (source de confusion comme ici).

---

Utilisations des balises de mises en formes.

bruno

Re : [resolu] Pas de connexion réseau filaire

Oui, l'idée était de retrouver temporairement une connectivité. Je n'ai jamais mélangé les commandes iptables et nftables, donc je te ferai plutôt confiance pour le changement de politique par défaut. Cela dit sur un serveur où le pare-feu configuré avec nftables est parfaitement fonctionnel j'ai :

nft list ruleset
table inet filter {
        chain input {
                type filter hook input priority filter; policy drop;

iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination   

iptables-nft -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

et les commandes iptables sont sans aucun effet sur les règles nftables…

De toute façon après un redémarrage on risque de se retrouver dans la situation précédente si firewalld est toujours actif.

Dernière modification par bruno (Le 12/11/2023, à 13:58)

matrix-bx

Re : [resolu] Pas de connexion réseau filaire

Un peu surpris par ton exemple, quand je charge une policy drop via nft, je la vois immédiatement aussi via iptables.
Ne prend pas pour argent comptant ce que je dis, ce n'est que ma compréhension du moment, elle est susceptible d'évoluer.

---

Utilisations des balises de mises en formes.

bruno

Re : [resolu] Pas de connexion réseau filaire

Ok je constate la même chose que toi sur une machine de bureau avec Ubuntu.
La différence majeure avec mon serveur (sous Debian) c'est que le service systemd nftables est désactivé !
Ce service est en charge du lancement de nft avec la configuration présente sous /etc/nftables. Je ne sais pas trop comment Ubuntu gère tout cela…

Dernière modification par bruno (Le 12/11/2023, à 16:03)

Caille Rotie

Re : [resolu] Pas de connexion réseau filaire

Vous êtes trop fort !!

cendre@logrus:~$ sudo iptables -P INPUT ACCEPT
[sudo] Mot de passe de cendre : 
cendre@logrus:~$ sudo iptables -P FORWARD ACCEPT
cendre@logrus:~$ 
cendre@logrus:~$ host ubuntu-fr.org
ubuntu-fr.org has address 217.70.184.55
ubuntu-fr.org mail is handled by 5 relay1.ubuntu-fr.org.
ubuntu-fr.org mail is handled by 5 relay4.ubuntu-fr.org.
cendre@logrus:~$ 
cendre@logrus:~$ 

Merci merci encore !!

PS : j'ai aucune idée de comment ce pare-feu s'est retrouvé dans mon ordinateur, mais c'était bien ça

Dernière modification par Caille Rotie (Le 12/11/2023, à 21:11)

matrix-bx

Re : [resolu] Pas de connexion réseau filaire

*** tousse ***
c'est surtout une c*nnerie que j'ai déjà fait (plusieurs fois) ...

---

Utilisations des balises de mises en formes.