Sujet Précédent Sujet Suivant

Problème de port forwarding entre deux routeurs (double NAT)

Résolu/Fermé
0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019 - 22 avril 2019 à 19:43
0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019 - 28 avril 2019 à 15:55
Bonjour,

J'ai besoin d'avoir ma console Xbox 360 accessible sur le port 3074 pour avoir un NAT ouvert.
Problème, j'ai une connexion 4G qui fait que je ne suis pas directement connecté au net, il y a un LAN privé Free entre mon tel et l'antenne 4G et biensûr je ne peux pas intervenir sur leur routeur pour ouvrir mes ports.

Pour outrepasser cet inconvénient, j'ai pris un VPS Debian 8 chez OVH sur lequel j'ai installé une passerelle OpenVPN. Ensuite, je connecte mon tel au serveur VPN (tun0), puis j'active le tethering WiFi (wlan0). Une appli qui va bien (VPN Tether) me permet de router la connexion VPN à travers mon LAN, dérière lequel il y a, entre autre, ma fameuse Xbox.

Dans ces conditions, sur le VPS je n'ai qu'à ouvrir le port 3074 et le forwarder vers l'IP du téléphone (10.8.0.6:3074), puis sur le téléphone, toujours avec une appli qui va bien, je forwarde de nouveau le port 3074 vers l'IP LAN de la console (192.168.43.201:3074). En théorie me voilà donc avec un NAT ouvert.

Sauf qu'en pratique ça ne fonctionne pas : quand je fait la manip, le port s'ouvre bien (d'après https://www.yougetsignal.com/tools/open-ports/) mais la xbox le voit fermé.

Pour savoir si ça vient du serveur qui ne forwarderait pas vers le tel, ou le tel qui ne forwarderait pas vers la xbox, j'ai installé un serveur FTP sur le tel (10.8.0.6:2221).

Quand je me mets en SSH sur le VPS je peux me connecter au FTP via 10.8.0.6:2221, mais quand j'essaye depuis un appareil qui n'est pas dans le réseau de me connecter sur IP_PUBLIC_VPS:2221 ça ne marche pas, je ne comprends pas pourquoi ...

Merci d'avance pour vos suggestions :)

Ressources :

Voir schéma réseau en bas de post

Résultat de iptables -S sur le VPS (j'ai changer l'IP publique): 

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N f2b-nginx-auth
-N f2b-nginx-badbots
-N f2b-ssh
-N f2b-sshd
-N f2b-vsftpd
-A INPUT -p tcp -m multiport --dports 80,443 -j f2b-nginx-badbots
-A INPUT -p tcp -m multiport --dports 80,443 -j f2b-nginx-auth
-A INPUT -p tcp -m multiport --dports 22 -j f2b-ssh
-A INPUT -p tcp -m multiport --dports 21,20,990,989 -j f2b-vsftpd
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p udp -m udp --dport 1194 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 2221 -j ACCEPT
-A FORWARD -s 10.8.0.0/24 -j ACCEPT
-A FORWARD -i ens3 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p tcp -m tcp --dport 3074 -m state --state NEW,RELATE                                              D,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 3074 -m state --state NEW,RELATE                                              D,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 88 -m state --state NEW,RELATED,                                              ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 53 -m state --state NEW,RELATED,                                              ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p tcp -m tcp --dport 53 -m state --state NEW,RELATED,                                              ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 500 -m state --state NEW,RELATED                                              ,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 3544 -m state --state NEW,RELATE                                              D,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 4500 -m state --state NEW,RELATE                                              D,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 6672 -m state --state NEW,RELATE                                              D,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 61455 -m state --state NEW,RELAT                                              ED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 61456 -m state --state NEW,RELAT                                              ED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 61457 -m state --state NEW,RELAT                                              ED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 61458 -m state --state NEW,RELAT                                              ED,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p tcp -m tcp --dport 2221 -m state --state NEW,RELATE                                              D,ESTABLISHED -j ACCEPT
-A FORWARD -d 10.8.0.6/32 -p udp -m udp --dport 2221 -m state --state NEW,RELATE                                              D,ESTABLISHED -j ACCEPT
-A FORWARD -d XX.XX.XX.XX/32 -p tcp -m tcp --dport 2221 -m state --state NEW,REL                                              ATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A f2b-nginx-auth -j RETURN
-A f2b-nginx-badbots -j RETURN
-A f2b-ssh -s 51.255.194.249/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh -s 103.30.94.210/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh -s 157.230.41.31/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh -s 80.211.69.250/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh -s 116.68.127.9/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh -s 217.61.97.168/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh -s 104.236.93.172/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh -s 51.255.160.188/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-ssh -j RETURN
-A f2b-sshd -s 51.255.194.249/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 103.30.94.210/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 157.230.41.31/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 80.211.69.250/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 116.68.127.9/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 217.61.97.168/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 104.236.93.172/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 51.255.160.188/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN
-A f2b-vsftpd -j RETURN



Résultat de iptables -L -n -v sur le VPS 
1:~# iptables -L -v -n
Chain INPUT (policy ACCEPT 23 packets, 936 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                              
 5991 3383K f2b-nginx-badbots  tcp  --  *      *       0.0.0.0/0            0.0.                                                                             0.0/0            multiport dports 80,443
 6018 3384K f2b-nginx-auth  tcp  --  *      *       0.0.0.0/0            0.0.0.0                                                                             /0            multiport dports 80,443
11214 1203K f2b-ssh    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                         multiport dports 22
   55  3053 f2b-vsftpd  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                         multiport dports 21,20,990,989
10487 1154K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                         multiport dports 22
 3506  753K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                         udp dpt:1194
 109K   17M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                         state RELATED,ESTABLISHED
 1323 80372 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0                                                                                
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0                                                                                
    5   300 ACCEPT     all  --  tun0   *       0.0.0.0/0            0.0.0.0/0                                                                                
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                         tcp dpt:2221

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                              
 2521  241K ACCEPT     all  --  *      *       10.8.0.0/24          0.0.0.0/0                                                                                
 5806 6660K ACCEPT     all  --  ens3   tun0    0.0.0.0/0            0.0.0.0/0                                                                                         state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          tcp dpt:3074 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:3074 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:88 state NEW,RELATED,ESTABLISHED
    3   174 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:53 state NEW,RELATED,ESTABLISHED
  116  5092 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          tcp dpt:53 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:500 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:3544 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:4500 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:6672 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:61455 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:61456 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:61457 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:61458 state NEW,RELATED,ESTABLISHED
   12   688 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          tcp dpt:2221 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.8.0.6                                                                                          udp dpt:2221 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            51.38.70.80                                                                                       tcp dpt:2221 state NEW,RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT 59 packets, 7349 bytes)
 pkts bytes target     prot opt in     out     source               destination                                                                              
  109  6220 ACCEPT     all  --  *      tun0    0.0.0.0/0            0.0.0.0/0                                                                                

Chain f2b-nginx-auth (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                              
 6018 3384K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                

Chain f2b-nginx-badbots (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                              
 5991 3383K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                

Chain f2b-ssh (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                              
    0     0 REJECT     all  --  *      *       13.80.42.98          0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.75.10.4          0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       34.73.60.150         0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       51.75.143.169        0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       206.189.229.112      0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
   44  3384 REJECT     all  --  *      *       202.131.237.182      0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
10487 1154K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                

Chain f2b-sshd (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                              
    0     0 REJECT     all  --  *      *       13.80.42.98          0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       106.75.10.4          0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       34.73.60.150         0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       51.75.143.169        0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       206.189.229.112      0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
    0     0 REJECT     all  --  *      *       202.131.237.182      0.0.0.0/0                                                                                         reject-with icmp-port-unreachable
10478 1153K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0                                                                                

Chain f2b-vsftpd (1 references)
 pkts bytes target     prot opt in     out     source               destination                                                                              
   55  3053 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0



Résultat de iptables -L -n -v -t nat sur le VPS 
1:~# iptables -L -v -n -t nat
Chain PREROUTING (policy ACCEPT 12344 packets, 514K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3074 to:10.8.0.6:3074
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:3074 to:10.8.0.6:3074
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:88 to:10.8.0.6:88
    3   174 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:53 to:10.8.0.6:53
   50  2188 DNAT       tcp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53 to:10.8.0.6:53
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:500 to:10.8.0.6:500
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:3544 to:10.8.0.6:3544
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:4500 to:10.8.0.6:4500
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:6672 to:10.8.0.6:6672
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:61455 to:10.8.0.6:61455
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:61456 to:10.8.0.6:61456
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:61457 to:10.8.0.6:61457
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:61458 to:10.8.0.6:61458
    9   508 DNAT       tcp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:2221 to:10.8.0.6:2221
    0     0 DNAT       udp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            udp dpt:2221 to:10.8.0.6:2221

Chain INPUT (policy ACCEPT 11461 packets, 459K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 4975 packets, 315K bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 5026 packets, 317K bytes)
 pkts bytes target     prot opt in     out     source               destination
  444 29993 MASQUERADE  all  --  *      ens3    10.8.0.0/24          0.0.0.0/0
    0     0 SNAT       tcp  --  *      ens3    0.0.0.0/0            0.0.0.0/0            tcp dpt:2221 to:51.38.70.80:2221
[/QUOTE]


iptables -S sur le Tél.: 
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N block_all_dns
-N block_black_table
-N block_white_table
-N bw_FORWARD
-N bw_INPUT
-N bw_OUTPUT
-N bw_VIDEOCALL_IN
-N bw_VIDEOCALL_OUT
-N bw_costly_rmnet0
-N bw_costly_shared
-N bw_data_saver
-N bw_happy_box
-N bw_penalty_box
-N bw_roaming_reduction
-N bw_videocall_box
-N fw_FORWARD
-N fw_INPUT
-N fw_OUTPUT
-N fw_dozable
-N fw_powersave
-N fw_standby
-N fw_standby_uid
-N knox_vpn_filter_input_drop
-N knox_vpn_filter_input_exempt
-N knox_vpn_filter_output_act
-N knox_vpn_filter_output_drop
-N natctrl_FORWARD
-N natctrl_tether_counters
-N oem_fwd
-N oem_out
-N st_OUTPUT
-N st_clear_caught
-N st_clear_detect
-N st_penalty_log
-N st_penalty_reject
-A INPUT -j knox_vpn_filter_input_exempt
-A INPUT -j knox_vpn_filter_input_drop
-A INPUT -j bw_INPUT
-A INPUT -j fw_INPUT
-A INPUT -j bw_VIDEOCALL_IN
-A FORWARD -j ACCEPT
-A FORWARD -j oem_fwd
-A FORWARD -j fw_FORWARD
-A FORWARD -j bw_FORWARD
-A FORWARD -j natctrl_FORWARD
-A OUTPUT -j knox_vpn_filter_output_act
-A OUTPUT -j knox_vpn_filter_output_drop
-A OUTPUT -j oem_out
-A OUTPUT -j fw_OUTPUT
-A OUTPUT -j st_OUTPUT
-A OUTPUT -j bw_OUTPUT
-A OUTPUT -j bw_VIDEOCALL_OUT
-A bw_FORWARD -m quota2 ! --name globalAlert  --quota 52428800 
-A bw_INPUT -m quota2 ! --name globalAlert  --quota 2097152 
-A bw_INPUT -i rmnet0 -j bw_costly_rmnet0
-A bw_INPUT -m owner --socket-exists
-A bw_OUTPUT -m quota2 ! --name globalAlert  --quota 2097152 
-A bw_OUTPUT -o rmnet0 -j bw_costly_rmnet0
-A bw_OUTPUT -m owner --socket-exists
-A bw_costly_rmnet0 -j bw_penalty_box
-A bw_costly_rmnet0 -j bw_roaming_reduction
-A bw_costly_rmnet0 -m quota2 ! --name rmnet0  --quota 9223372036854775807  -j REJECT --reject-with icmp-port-unreachable
-A bw_costly_shared -j bw_penalty_box
-A bw_data_saver -j RETURN
-A bw_happy_box -m owner --uid-owner 10032 -j RETURN
-A bw_happy_box -m owner --uid-owner 10046 -j RETURN
-A bw_happy_box -m owner --uid-owner 10034 -j RETURN
-A bw_happy_box -m owner --uid-owner 10020 -j RETURN
-A bw_happy_box -m owner --uid-owner 0-9999 -j RETURN
-A bw_happy_box -j bw_data_saver
-A bw_penalty_box -j bw_happy_box
-A fw_INPUT -j fw_standby
-A fw_OUTPUT -j fw_standby
-A fw_dozable -m owner --uid-owner 10199 -j RETURN
-A fw_dozable -m owner --uid-owner 1000 -j RETURN
-A fw_dozable -m owner --uid-owner 1001 -j RETURN
-A fw_dozable -m owner --uid-owner 1027 -j RETURN
-A fw_dozable -m owner --uid-owner 5002 -j RETURN
-A fw_dozable -m owner --uid-owner 10006 -j RETURN
-A fw_dozable -m owner --uid-owner 10015 -j RETURN
-A fw_dozable -m owner --uid-owner 10020 -j RETURN
-A fw_dozable -m owner --uid-owner 10021 -j RETURN
-A fw_dozable -m owner --uid-owner 10032 -j RETURN
-A fw_dozable -m owner --uid-owner 10034 -j RETURN
-A fw_dozable -m owner --uid-owner 10041 -j RETURN
-A fw_dozable -m owner --uid-owner 10046 -j RETURN
-A fw_dozable -m owner --uid-owner 10059 -j RETURN
-A fw_dozable -m owner --uid-owner 10072 -j RETURN
-A fw_dozable -m owner --uid-owner 10075 -j RETURN
-A fw_dozable -m owner --uid-owner 10076 -j RETURN
-A fw_dozable -m owner --uid-owner 10096 -j RETURN
-A fw_dozable -m owner --uid-owner 10138 -j RETURN
-A fw_dozable -m owner --uid-owner 10141 -j RETURN
-A fw_dozable -m owner --uid-owner 10142 -j RETURN
-A fw_dozable -m owner --uid-owner 10154 -j RETURN
-A fw_dozable -i lo -j RETURN
-A fw_dozable -o lo -j RETURN
-A fw_dozable -p tcp -m tcp --tcp-flags RST RST -j RETURN
-A fw_dozable -p esp -j RETURN
-A fw_dozable -p tcp -m tcp --sport 5060 -j RETURN
-A fw_dozable -p tcp -m tcp --dport 5060 -j RETURN
-A fw_dozable -m owner --uid-owner 0-9999 -j RETURN
-A fw_dozable -j DROP
-A fw_powersave -i lo -j RETURN
-A fw_powersave -o lo -j RETURN
-A fw_powersave -p tcp -m tcp --tcp-flags RST RST -j RETURN
-A fw_powersave -p esp -j RETURN
-A fw_powersave -p tcp -m tcp --sport 5060 -j RETURN
-A fw_powersave -p tcp -m tcp --dport 5060 -j RETURN
-A fw_powersave -m owner --uid-owner 0-9999 -j RETURN
-A fw_powersave -j DROP
-A fw_standby -i lo -j RETURN
-A fw_standby -o lo -j RETURN
-A fw_standby -p tcp -m tcp --tcp-flags RST RST -j RETURN
-A fw_standby -j fw_standby_uid
-A fw_standby_uid -i lo -j RETURN
-A fw_standby_uid -o lo -j RETURN
-A fw_standby_uid -p tcp -m tcp --tcp-flags RST RST -j RETURN
-A fw_standby_uid -m owner --uid-owner 10202 -j DROP
-A fw_standby_uid -m owner --uid-owner 10201 -j DROP
-A fw_standby_uid -m owner --uid-owner 10200 -j DROP
-A fw_standby_uid -m owner --uid-owner 10198 -j DROP
-A fw_standby_uid -m owner --uid-owner 10197 -j DROP
-A fw_standby_uid -m owner --uid-owner 10196 -j DROP
-A fw_standby_uid -m owner --uid-owner 10195 -j DROP
-A fw_standby_uid -m owner --uid-owner 10192 -j DROP
-A fw_standby_uid -m owner --uid-owner 10191 -j DROP
-A fw_standby_uid -m owner --uid-owner 10188 -j DROP
-A fw_standby_uid -m owner --uid-owner 10187 -j DROP
-A fw_standby_uid -m owner --uid-owner 10184 -j DROP
-A fw_standby_uid -m owner --uid-owner 10183 -j DROP
-A fw_standby_uid -m owner --uid-owner 10182 -j DROP
-A fw_standby_uid -m owner --uid-owner 10179 -j DROP
-A fw_standby_uid -m owner --uid-owner 10178 -j DROP
-A fw_standby_uid -m owner --uid-owner 10177 -j DROP
-A fw_standby_uid -m owner --uid-owner 10175 -j DROP
-A fw_standby_uid -m owner --uid-owner 10173 -j DROP
-A fw_standby_uid -m owner --uid-owner 10172 -j DROP
-A fw_standby_uid -m owner --uid-owner 10167 -j DROP
-A fw_standby_uid -m owner --uid-owner 10161 -j DROP
-A fw_standby_uid -m owner --uid-owner 10160 -j DROP
-A fw_standby_uid -m owner --uid-owner 10159 -j DROP
-A fw_standby_uid -m owner --uid-owner 10158 -j DROP
-A fw_standby_uid -m owner --uid-owner 10157 -j DROP
-A fw_standby_uid -m owner --uid-owner 10155 -j DROP
-A fw_standby_uid -m owner --uid-owner 10152 -j DROP
-A fw_standby_uid -m owner --uid-owner 10145 -j DROP
-A fw_standby_uid -m owner --uid-owner 10144 -j DROP
-A fw_standby_uid -m owner --uid-owner 10132 -j DROP
-A fw_standby_uid -m owner --uid-owner 10124 -j DROP
-A fw_standby_uid -m owner --uid-owner 10121 -j DROP
-A fw_standby_uid -m owner --uid-owner 10118 -j DROP
-A fw_standby_uid -m owner --uid-owner 10113 -j DROP
-A fw_standby_uid -m owner --uid-owner 10109 -j DROP
-A fw_standby_uid -m owner --uid-owner 10106 -j DROP
-A fw_standby_uid -m owner --uid-owner 10105 -j DROP
-A fw_standby_uid -m owner --uid-owner 10102 -j DROP
-A fw_standby_uid -m owner --uid-owner 10099 -j DROP
-A fw_standby_uid -m owner --uid-owner 10093 -j DROP
-A fw_standby_uid -m owner --uid-owner 10086 -j DROP
-A fw_standby_uid -m owner --uid-owner 10081 -j DROP
-A fw_standby_uid -m owner --uid-owner 10080 -j DROP
-A fw_standby_uid -m owner --uid-owner 10073 -j DROP
-A fw_standby_uid -m owner --uid-owner 10069 -j DROP
-A fw_standby_uid -m owner --uid-owner 10062 -j DROP
-A fw_standby_uid -m owner --uid-owner 10061 -j DROP
-A fw_standby_uid -m owner --uid-owner 10050 -j DROP
-A fw_standby_uid -m owner --uid-owner 10048 -j DROP
-A fw_standby_uid -m owner --uid-owner 10043 -j DROP
-A fw_standby_uid -m owner --uid-owner 10040 -j DROP
-A fw_standby_uid -m owner --uid-owner 10039 -j DROP
-A fw_standby_uid -m owner --uid-owner 10037 -j DROP
-A fw_standby_uid -m owner --uid-owner 10030 -j DROP
-A fw_standby_uid -m owner --uid-owner 10024 -j DROP
-A fw_standby_uid -m owner --uid-owner 10022 -j DROP
-A fw_standby_uid -m owner --uid-owner 10018 -j DROP
-A fw_standby_uid -m owner --uid-owner 10014 -j DROP
-A fw_standby_uid -m owner --uid-owner 10011 -j DROP
-A fw_standby_uid -m owner --uid-owner 10137 -j DROP
-A fw_standby_uid -m owner --uid-owner 10164 -j DROP
-A fw_standby_uid -m owner --uid-owner 10143 -j DROP
-A fw_standby_uid -m owner --uid-owner 10033 -j DROP
-A fw_standby_uid -m owner --uid-owner 10005 -j DROP
-A fw_standby_uid -m owner --uid-owner 10095 -j DROP
-A fw_standby_uid -m owner --uid-owner 10058 -j DROP
-A fw_standby_uid -m owner --uid-owner 10049 -j DROP
-A fw_standby_uid -m owner --uid-owner 10044 -j DROP
-A fw_standby_uid -m owner --uid-owner 10035 -j DROP
-A fw_standby_uid -m owner --uid-owner 10055 -j DROP
-A fw_standby_uid -m owner --uid-owner 10189 -j DROP
-A fw_standby_uid -m owner --uid-owner 10194 -j DROP
-A fw_standby_uid -m owner --uid-owner 10166 -j DROP
-A fw_standby_uid -m owner --uid-owner 10185 -j DROP
-A fw_standby_uid -m owner --uid-owner 10135 -j DROP
-A fw_standby_uid -m owner --uid-owner 10065 -j DROP
-A fw_standby_uid -m owner --uid-owner 10190 -j DROP
-A fw_standby_uid -m owner --uid-owner 10171 -j DROP
-A fw_standby_uid -m owner --uid-owner 10088 -j DROP
-A fw_standby_uid -m owner --uid-owner 10123 -j DROP
-A fw_standby_uid -m owner --uid-owner 10122 -j DROP
-A fw_standby_uid -m owner --uid-owner 10052 -j DROP
-A fw_standby_uid -m owner --uid-owner 10047 -j DROP
-A fw_standby_uid -m owner --uid-owner 10174 -j DROP
-A fw_standby_uid -m owner --uid-owner 10186 -j DROP
-A fw_standby_uid -m owner --uid-owner 10054 -j DROP
-A fw_standby_uid -m owner --uid-owner 10097 -j DROP
-A fw_standby_uid -m owner --uid-owner 10009 -j DROP
-A fw_standby_uid -m owner --uid-owner 10163 -j DROP
-A natctrl_FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A natctrl_FORWARD -i rmnet0 -o wlan0 -m state --state RELATED,ESTABLISHED -g natctrl_tether_counters
-A natctrl_FORWARD -i wlan0 -o rmnet0 -m state --state INVALID -j DROP
-A natctrl_FORWARD -i wlan0 -o rmnet0 -g natctrl_tether_counters
-A natctrl_FORWARD -j DROP
-A natctrl_tether_counters -i wlan0 -o rmnet0 -j RETURN
-A natctrl_tether_counters -i rmnet0 -o wlan0 -j RETURN
-A st_clear_detect -m connmark --mark 0x2000000/0x2000000 -j REJECT --reject-with icmp-port-unreachable
-A st_clear_detect -m connmark --mark 0x1000000/0x1000000 -j RETURN
-A st_clear_detect -p tcp -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0&0xffff0000=0x16030000&&0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x4&0xff0000=0x10000" -j CONNMARK --set-xmark 0x1000000/0x1000000
-A st_clear_detect -p udp -m u32 --u32 "0x0>>0x16&0x3c@0x8&0xffff0000=0x16fe0000&&0x0>>0x16&0x3c@0x14&0xff0000=0x10000" -j CONNMARK --set-xmark 0x1000000/0x1000000
-A st_clear_detect -m connmark --mark 0x1000000/0x1000000 -j RETURN
-A st_clear_detect -p tcp -m state --state ESTABLISHED -m u32 --u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0&0x0=0x0" -j st_clear_caught
-A st_clear_detect -p udp -j st_clear_caught
-A st_penalty_log -j CONNMARK --set-xmark 0x1000000/0x1000000
-A st_penalty_log -j NFLOG
-A st_penalty_reject -j CONNMARK --set-xmark 0x2000000/0x2000000
-A st_penalty_reject -j NFLOG
-A st_penalty_reject -j REJECT --reject-with icmp-port-unreachable



iptables -L -v -n sur le tél: 
Chain INPUT (policy ACCEPT 305 packets, 71595 bytes)
 pkts bytes target     prot opt in     out     source               destination         
17319 8255K knox_vpn_filter_input_exempt  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
17319 8255K knox_vpn_filter_input_drop  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
17319 8255K bw_INPUT   all  --  *      *       0.0.0.0/0            0.0.0.0/0           
17319 8255K fw_INPUT   all  --  *      *       0.0.0.0/0            0.0.0.0/0           
16912 8223K bw_VIDEOCALL_IN  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
  138 30302 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 121K   64M oem_fwd    all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 121K   64M fw_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 121K   64M bw_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 121K   64M natctrl_FORWARD  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 362 packets, 55331 bytes)
 pkts bytes target     prot opt in     out     source               destination         
20704 4008K knox_vpn_filter_output_act  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
20704 4008K knox_vpn_filter_output_drop  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
20704 4008K oem_out    all  --  *      *       0.0.0.0/0            0.0.0.0/0           
20704 4008K fw_OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
19305 3917K st_OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
19305 3917K bw_OUTPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
19305 3917K bw_VIDEOCALL_OUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain block_all_dns (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain block_black_table (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain block_white_table (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain bw_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0            all  --  *      *       0.0.0.0/0            0.0.0.0/0            ! quota globalAlert: 52428800 bytes 

Chain bw_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0            all  --  *      *       0.0.0.0/0            0.0.0.0/0            ! quota globalAlert: 2097152 bytes 
  196 48643 bw_costly_rmnet0  all  --  rmnet0 *       0.0.0.0/0            0.0.0.0/0           
15919 8160K            all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner socket exists

Chain bw_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0            all  --  *      *       0.0.0.0/0            0.0.0.0/0            ! quota globalAlert: 2097152 bytes 
  231 44298 bw_costly_rmnet0  all  --  *      rmnet0  0.0.0.0/0            0.0.0.0/0           
18949 3782K            all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner socket exists

Chain bw_VIDEOCALL_IN (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain bw_VIDEOCALL_OUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain bw_costly_rmnet0 (2 references)
 pkts bytes target     prot opt in     out     source               destination         
  427 92941 bw_penalty_box  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
  427 92941 bw_roaming_reduction  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            ! quota rmnet0: 9223372036854775807 bytes  reject-with icmp-port-unreachable

Chain bw_costly_shared (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 bw_penalty_box  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain bw_data_saver (1 references)
 pkts bytes target     prot opt in     out     source               destination         
21650 6901K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain bw_happy_box (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10032
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10046
 1707 1279K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10034
 6453 2592K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10020
  931  193K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 0-9999
21650 6901K bw_data_saver  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain bw_penalty_box (2 references)
 pkts bytes target     prot opt in     out     source               destination         
30741   11M bw_happy_box  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain bw_roaming_reduction (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain bw_videocall_box (0 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain fw_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain fw_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
17319 8255K fw_standby  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fw_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
20704 4008K fw_standby  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fw_dozable (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10199
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 1000
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 1001
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 1027
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 5002
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10006
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10015
 1433  312K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10020
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10021
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10032
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10034
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10041
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10046
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10059
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10072
    1    40 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10075
  118 29877 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10076
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10096
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10138
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10141
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10142
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10154
    0     0 RETURN     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
  162  7532 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x04/0x04
    0     0 RETURN     esp  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:5060
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5060
  116 12858 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 0-9999
 1095 80443 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fw_powersave (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x04/0x04
    0     0 RETURN     esp  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp spt:5060
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:5060
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 0-9999
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fw_standby (2 references)
 pkts bytes target     prot opt in     out     source               destination         
   17  1266 RETURN     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
   17  1266 RETURN     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
  789 33836 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x04/0x04
37200   12M fw_standby_uid  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain fw_standby_uid (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 RETURN     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 RETURN     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x04/0x04
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10202
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10201
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10200
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10198
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10197
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10196
  181 10860 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10195
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10192
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10191
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10188
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10187
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10184
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10183
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10182
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10179
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10178
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10177
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10175
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10173
   52  3120 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10172
   14   840 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10167
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10161
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10160
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10159
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10158
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10157
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10155
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10152
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10145
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10144
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10132
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10124
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10121
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10118
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10113
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10109
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10106
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10105
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10102
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10099
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10093
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10086
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10081
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10080
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10073
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10069
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10062
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10061
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10050
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10048
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10043
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10040
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10039
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10037
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10030
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10024
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10022
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10018
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10014
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10011
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10137
    8   480 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10164
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10143
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10033
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10005
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10095
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10058
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10049
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10044
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10035
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10055
    4   240 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10189
   18  1080 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10194
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10166
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10185
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10135
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10065
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10190
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10171
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10088
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10123
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10122
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10052
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10047
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10174
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10186
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10054
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10097
   16   960 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10009
   72  4320 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            owner UID match 10163

Chain knox_vpn_filter_input_drop (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain knox_vpn_filter_input_exempt (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain knox_vpn_filter_output_act (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain knox_vpn_filter_output_drop (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain natctrl_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 1711 88620 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:0x06/0x02 TCPMSS clamp to PMTU
35493   30M natctrl_tether_counters  all  --  rmnet0 wlan0   0.0.0.0/0            0.0.0.0/0           [goto]  state RELATED,ESTABLISHED
    0     0 DROP       all  --  wlan0  rmnet0  0.0.0.0/0            0.0.0.0/0            state INVALID
26583 4347K natctrl_tether_counters  all  --  wlan0  rmnet0  0.0.0.0/0            0.0.0.0/0           [goto] 
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain natctrl_tether_counters (2 references)
 pkts bytes target     prot opt in     out     source               destination         
53324   12M RETURN     all  --  wlan0  rmnet0  0.0.0.0/0            0.0.0.0/0           
67662   52M RETURN     all  --  rmnet0 wlan0   0.0.0.0/0            0.0.0.0/0           

Chain oem_fwd (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain oem_out (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain st_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain st_clear_caught (2 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain st_clear_detect (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match  0x2000000/0x2000000 reject-with icmp-port-unreachable
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match  0x1000000/0x1000000
    0     0 CONNMARK   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0&0xffff0000=0x16030000&&0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x4&0xff0000=0x10000" CONNMARK or 0x1000000
    0     0 CONNMARK   udp  --  *      *       0.0.0.0/0            0.0.0.0/0            u32 "0x0>>0x16&0x3c@0x8&0xffff0000=0x16fe0000&&0x0>>0x16&0x3c@0x14&0xff0000=0x10000" CONNMARK or 0x1000000
    0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            connmark match  0x1000000/0x1000000
    0     0 st_clear_caught  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state ESTABLISHED u32 "0x0>>0x16&0x3c@0xc>>0x1a&0x3c@0x0&0x0=0x0"
    0     0 st_clear_caught  udp  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain st_penalty_log (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 CONNMARK   all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNMARK or 0x1000000
    0     0 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain st_penalty_reject (0 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 CONNMARK   all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNMARK or 0x2000000
    0     0 NFLOG      all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable



iptables -L -v -n -t nat sur le tél: 
Chain PREROUTING (policy ACCEPT 15 packets, 2538 bytes)
 pkts bytes target     prot opt in     out     source               destination         
 3493  983K oem_nat_pre  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
 3493  983K natctrl_nat_PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain INPUT (policy ACCEPT 2 packets, 157 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 40 packets, 2511 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
   53  4892 MASQUERADE  all  --  *      *       0.0.0.0/0            0.0.0.0/0           

Chain natctrl_nat_POSTROUTING (0 references)
 pkts bytes target     prot opt in     out     source               destination         
 1976  438K MASQUERADE  all  --  *      rmnet0  0.0.0.0/0            0.0.0.0/0           

Chain natctrl_nat_PREROUTING (1 references)
 pkts bytes target     prot opt in     out     source               destination         

Chain oem_nat_pre (1 references)
 pkts bytes target     prot opt in     out     source               destination



Un petit schéma de mon réseau pour y voir plus clair:



A voir également:

3 réponses

Réponse 1 / 3
brupala Messages postés 109454 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623
22 avril 2019 à 22:14
Salut,
tu es en train de nous noyer sous bien trop de choses là .
Quels sont les logs du VPS pour iptables ?
active la règle de forwarding de ton port 3074 avec des logs dessus.
et arrête de nous noyer avec le reste.
1
0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019
Modifié le 23 avril 2019 à 12:05
Salut,

Désolé pour le flots d'infos, j'ai cru bien faire.

J'ai activé ces deux règles : 

iptables -A FORWARD -p tcp -d 10.8.0.6/32 --dport 3074 -m state --state NEW,ESTABLISHED,RELATED -j LOG
iptables -A FORWARD -p udp -d 10.8.0.6/32 --dport 3074 -m state --state NEW,ESTABLISHED,RELATED -j LOG


Quand je consulte le log avec 
tailf /var/log/kern.log
il n'y a rien.

J'ai aussi essayé ça 
iptables -A FORWARD -i tun0 -j LOG
iptables -A FORWARD -o tun0 -j LOG


Ca ne donne rien.
0
0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019
Modifié le 23 avril 2019 à 18:42
EDIT:

Si je fais ça : 
iptables -A INPUT -p tcp -s 37.164.195.152 -j LOG (mon ip publique Free)


Et que je tente une co sur le port j'ai ça en résultat: 
71:~# tailf /var/log/kern.log
Apr 23 18:27:46 vpsXXXXX kernel: [    4.162001] input: QEMU QEMU USB Tablet as /devices/pci0000:00/0000:00:01.2/usb1/1-1/1-1:1.0/0003:0627:0001.0001/input/input6
Apr 23 18:27:46 vpsXXXXX kernel: [    4.162126] hid-generic 0003:0627:0001.0001: input,hidraw0: USB HID v0.01 Pointer [QEMU QEMU USB Tablet] on usb-0000:00:01.2-1/input0
Apr 23 18:27:46 vpsXXXXX kernel: [    4.197977] Console: switching to colour frame buffer device 128x48
Apr 23 18:27:46 vpsXXXXX kernel: [    4.259570] cirrus 0000:00:02.0: fb0: cirrusdrmfb frame buffer device
Apr 23 18:27:46 vpsXXXXX kernel: [    4.266350] [drm] Initialized cirrus 1.0.0 20110418 for 0000:00:02.0 on minor 0
Apr 23 18:27:46 vpsXXXXX kernel: [    5.212081] random: crng init done
Apr 23 18:27:46 vpsXXXXX kernel: [    5.213081] random: 7 urandom warning(s) missed due to ratelimiting
Apr 23 18:27:46 vpsXXXXX kernel: [    9.168747] tun: Universal TUN/TAP device driver, 1.6
Apr 23 18:27:46 vpsXXXXX kernel: [    9.194206] tun: (C) 1999-2004 Max Krasnyansky <maxk@qualcomm.com>
Apr 23 18:28:26 vpsXXXXX kernel: [   49.626052] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)
Apr 23 18:34:07 vpsXXXXX kernel: [  389.926110] IN=ens3 OUT= MAC=fa:16:3e:5f:e5:f7:56:8d:6c:52:76:08:08:00 SRC=37.164.195.152 DST=XX.XX.XX.XX LEN=52 TOS=0x00 PREC=0x00 TTL=110 ID=18793 DF PROTO=TCP SPT=3545 DPT=2346 WINDOW=8192 RES=0x00 SYN URGP=0
Apr 23 18:34:07 vpsXXXXX kernel: [  390.506527] IN=ens3 OUT= MAC=fa:16:3e:5f:e5:f7:56:8d:6c:52:76:08:08:00 SRC=37.164.195.152 DST=XX.XX.XX.XX LEN=52 TOS=0x00 PREC=0x00 TTL=110 ID=18796 DF PROTO=TCP SPT=3545 DPT=2346 WINDOW=8192 RES=0x00 SYN URGP=0
Apr 23 18:34:08 vpsXXXXX kernel: [  391.086057] IN=ens3 OUT= MAC=fa:16:3e:5f:e5:f7:56:8d:6c:52:76:08:08:00 SRC=37.164.195.152 DST=XX.XX.XX.XX LEN=48 TOS=0x00 PREC=0x00 TTL=110 ID=18798 DF PROTO=TCP SPT=3545 DPT=2346 WINDOW=8192 RES=0x00 SYN URGP=0
iptables -A INPUT -p tcp -s 37.164.195.152 -j LOG
0
Réponse 2 / 3
brupala Messages postés 109454 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623
24 avril 2019 à 16:37
Salut,
J'ai regardé un peu ta config iptables du VPS,
a priori que ce soit forward ou nat permettent le passage de 2221 depuis ens3 vers le tunnel sur 2221 et 3074 .
Par contre les tests ftp, tu les faits bien sur l'adresse ens3 du VPS ?
Après, la XBOX,
il me semble bien qu'aujourd'hui, elle utilise massivement IPV6 et un tunnel Teredo pour les connexions sans ipv6, cas de la plupart des connexions mobiles encore.
il faudrait essayer de voir si le tunnel Teredo peut bien monter sur ta connexion VPN et ton VPS.
0
0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019
Modifié le 25 avril 2019 à 18:23
Désolé pour mon silence et merci pour ta réponse. J'ai finallement simplifié les choses : j'ai mis un RPI 3 derrière mon tél en tethering USB. Ensuite je fais le tunnel entre le VPS et le RPI puis, toujours sur le Pi, je forward le traffic vpn dans eth0.

Ensuite je branche mon PC W7 en Ethernet sur eth0 du RPI. Et là il se produit une chose étrange : la connexion bug à mort rame à mort ... problème de MTU. Je fais donc des tests et je détermine mon MTU max (1424). Pour adapter le MTU je fais:

côté serveur dans serveur.conf: 
tun-mtu 1500
mssfix 1396


côté client dans client.ovpn: 
tun-mtu 1424
mssfix 1396


Le résultat est excellent, les pages se chargent instantanément sur le PC W7 ! Du coup je branche le câble RJ45 sur la xbox pour tester et là grosse déception : je ne peux pas me connecter au xboxlive car j'ai un souci de MTU ...

D'après Google, il me faut au minimum un MTU de 1364, or c'est le cas puisque mssfix le met à 1396 ... Ce qui est d'ailleurs confirmer par un test sur le PC w7 avec : 
ping google.com -f -l 1396


les paquets passent: 

J:\Users\Ben> ping google.fr -f -l 1396

Envoi d'une requête 'ping' sur google.fr [216.58.201.227] avec 1396 octets de do
nnées :
Réponse de 216.58.201.227 : octets=64 (envoyés 1396) temps=80 ms TTL=48
Réponse de 216.58.201.227 : octets=64 (envoyés 1396) temps=79 ms TTL=48
Réponse de 216.58.201.227 : octets=64 (envoyés 1396) temps=75 ms TTL=48
Réponse de 216.58.201.227 : octets=64 (envoyés 1396) temps=72 ms TTL=48

Statistiques Ping pour 216.58.201.227:
    Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 72ms, Maximum = 80ms, Moyenne = 76ms

J:\Users\Ben>


Peux-tu m'en dire plus sur Toredo ? peut il y avoir un rapport avec cette histoire de MTU ?

Je ne sais plus quoi faire ça fait des jours que je galère :( Help !!
0
brupala Messages postés 109454 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623
Modifié le 25 avril 2019 à 18:36
Teredo c'est un tunnel microsoft pour passer de l'ipv6 sur ipv4, mais tu en sais bien plus que moi sur la Xbox, donc je ne m'étendrai pas plus
Après,
tu dois pouvoir faire un tcpdump pour voir le traffic vers ta xbox.
PS
attention aux ping vers google, comme tu peux le voir dans la réponse, la taille répondue n'est pas celle envoyée.
0
0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019
25 avril 2019 à 23:12
J'ai regardé et si c'était un souci lié à Toredo il y a un message d'erreur spécifique donc ce n'est pas ça à première vue.

Du côté de tcp dump voici ce que donne la commande tcpdump sur eth0 avec comme destination la xbox: 

22:05:15.501042 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:17.489920 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:19.498895 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:20.507014 ARP, Request who-has 192.168.4.10 tell 192.168.4.250, length 28
22:05:21.500905 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:23.509937 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:25.706906 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63466 2/0/0 CNAME xeas.gtm.XBOXLIVE.COM., A 65.55.42.42 (74)
22:05:25.965722 IP 65.55.42.42.kerberos > 192.168.4.10.1257:
22:05:26.380762 IP 65.55.42.42.kerberos > 192.168.4.10.1257:  v5
22:05:26.789404 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63470 2/0/0 CNAME xetgs.gtm.XBOXLIVE.COM., A 65.55.42.42 (76)
22:05:27.198628 IP 65.55.42.42.kerberos > 192.168.4.10.1257:
22:05:27.609389 IP 65.55.42.42.kerberos > 192.168.4.10.1257:
22:05:27.747288 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:29.734025 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:31.743999 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:33.752119 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:35.762034 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:45.589866 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:46.592880 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:47.593895 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:48.594916 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:49.597922 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:50.602965 ARP, Reply 192.168.4.250 is-at b8:27:eb:76:6c:d5 (oui Unknown), length 28
22:05:50.603171 ARP, Reply 192.168.4.10 is-at 7c:1e:52:06:6e:78 (oui Unknown), length 46
22:05:50.603774 ARP, Reply 192.168.4.250 is-at b8:27:eb:76:6c:d5 (oui Unknown), length 28
22:05:50.824028 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63486 2/0/0 CNAME xexds.gtm.XBOXLIVE.COM., A 65.55.42.20 (76)
22:05:50.904429 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:50.904480 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:05:51.067402 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63495 4/0/0 CNAME www.msftncsi.com.edgesuite.net., CNAME a1961.g2.akamai.net.,$
22:05:51.144695 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63498 4/0/0 CNAME www.msftncsi.com.edgesuite.net., CNAME a1961.g2.akamai.net.,$
22:05:51.223971 IP a88-221-134-147.deploy.static.akamaitechnologies.com.http > 192.168.4.10.53382: Flags [S.], seq 3773750122, ack 3211745514, win 29200, op$
22:05:51.303753 IP a88-221-134-147.deploy.static.akamaitechnologies.com.http > 192.168.4.10.53382: Flags [.], ack 141, win 237, length 0
22:05:51.304611 IP a88-221-134-147.deploy.static.akamaitechnologies.com.http > 192.168.4.10.53382: Flags [P.], seq 1:185, ack 141, win 237, length 184: HTTP$
22:05:51.383964 IP a88-221-134-147.deploy.static.akamaitechnologies.com.http > 192.168.4.10.53382: Flags [F.], seq 185, ack 142, win 237, length 0
22:05:52.906352 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:52.906393 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:05:54.908336 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:54.908371 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:05:56.910407 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:56.910443 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:05:57.947018 ARP, Request who-has 192.168.4.10 tell 192.168.4.250, length 28
22:05:58.912411 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:58.912449 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:06:01.063934 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63521 2/0/0 CNAME xncsi.xboxlive.com.akadns.net., A 52.142.89.40 (95)
22:06:01.186298 IP 52.142.89.40.http > 192.168.4.10.32876: Flags [S.], seq 3717621280, ack 3708409341, win 8192, options [mss 1272,nop,wscale 8,nop,nop,sack$
22:06:01.288869 IP 52.142.89.40.http > 192.168.4.10.32876: Flags [FP.], seq 1:249, ack 97, win 1028, length 248: HTTP: HTTP/1.1 200 OK
22:06:01.503855 IP 52.142.89.40.http > 192.168.4.10.32876: Flags [.], ack 98, win 1028, length 0
22:06:01.504867 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63528 4/0/0 CNAME notice.xbox.com.nsatc.net., CNAME wildcard.xbox.com.edgekey.$
22:06:01.663666 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [S.], seq 3628519309, ack 3733368075, win 29200, optio$
22:06:03.903837 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [.], ack 124, win 229, length 0
22:06:04.267743 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [P.], seq 1:669, ack 124, win 229, length 668: HTTP: H$
22:06:04.267885 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [F.], seq 669, ack 124, win 229, length 0
22:06:04.864808 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [.], ack 125, win 229, length 0
0
brupala Messages postés 109454 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623 > 0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019
26 avril 2019 à 08:55
OK,
dommage que tu aies filtré le traffic sortant à destination de la xbox seulement, du coup, c'est difficilement comprehensible.
On voit des paquets udp vers port 3074 qui se suivent, mais on ne sait pas si c'est répété ou bien le flux qui se suit, en tout cas rien ne permet de dire qu'il y a des erreurs.
si ce n'est étrangement une séquence de 5 arp gratuit à partir 05:45 :
22:05:45.589866 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:46.592880 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:47.593895 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:48.594916 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:49.597922 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:50.602965 ARP, Reply 192.168.4.250 is-at b8:27:eb:76:6c:d5 (oui Unknown), length 28
22:05:50.603171 ARP, Reply 192.168.4.10 is-at 7c:1e:52:06:6e:78 (oui Unknown), length 46
22:05:50.603774 ARP, Reply 192.168.4.250 is-at b8:27:eb:76:6c:d5 (oui Unknown), length 28
réémises par la framboise , alors que ça doit entrer sur ce port , ainsi que la réponse de la xbox à 05:50, à moins que ça ne soit un proxy ARP, il faudrait voir l'adresse mac, bref ça ressemble à une déconnexion de la xbox à ce moment là.
à la fin on a un petit téléchargement http qui a l'air de bien se passer.
Ce qui me surprend, ce sont les paquets udp à destination port 3074 de la xbox avec l'adresse ip de la framboise en source, ça ne serait pas une erreur de nat statique qui remplacerait l'adresse source en plus de l'adresse destination ?
0
0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019
Modifié le 26 avril 2019 à 10:46
Merci pour ta réponse. Au fait pour le ping sur Google, en effet ... J'ai testé sur free.fr et il répond bien avec autant de données que ce qu'il reçoit donc mon MTU est bien à 1396.

Pour le NAT, je crois qu'il est bien fait, mais à vérifier je suis loin d'être un pro.Voici les commandes iptables actives sur le PI : 

iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3074 -j DNAT --to-destination 192.168.4.10
iptables -t nat -A POSTROUTING -p tcp -d 192.168.4.10 --dport 3074 -j SNAT --to-source 192.168.4.250
iptables -t nat -A PREROUTING -p udp--dport 3074 -j DNAT --to-destination 192.168.4.10
iptables -t nat -A POSTROUTING -p udp-d 192.168.4.10 --dport 3074 -j SNAT --to-source 192.168.4.250


Et j'ai également refait un TCP dump avec juste -i eth0 comme filtre: 

22:05:15.501042 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:17.489920 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:19.498895 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:20.507014 ARP, Request who-has 192.168.4.10 tell 192.168.4.250, length 28
22:05:21.500905 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:23.509937 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:25.706906 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63466 2/0/0 CNAME xeas.gtm.XBOXLIVE.COM., A 65.55.42.42 (74)
22:05:25.965722 IP 65.55.42.42.kerberos > 192.168.4.10.1257:
22:05:26.380762 IP 65.55.42.42.kerberos > 192.168.4.10.1257:  v5
22:05:26.789404 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63470 2/0/0 CNAME xetgs.gtm.XBOXLIVE.COM., A 65.55.42.42 (76)
22:05:27.198628 IP 65.55.42.42.kerberos > 192.168.4.10.1257:
22:05:27.609389 IP 65.55.42.42.kerberos > 192.168.4.10.1257:
22:05:27.747288 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:29.734025 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:31.743999 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:33.752119 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:35.762034 IP 192.168.4.250.3074 > 192.168.4.10.3074: UDP, length 1336
22:05:45.589866 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:46.592880 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:47.593895 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:48.594916 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:49.597922 ARP, Request who-has 192.168.4.10 tell 192.168.4.10, length 46
22:05:50.602965 ARP, Reply 192.168.4.250 is-at b8:27:eb:76:6c:d5 (oui Unknown), length 28
22:05:50.603171 ARP, Reply 192.168.4.10 is-at 7c:1e:52:06:6e:78 (oui Unknown), length 46
22:05:50.603774 ARP, Reply 192.168.4.250 is-at b8:27:eb:76:6c:d5 (oui Unknown), length 28
22:05:50.824028 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63486 2/0/0 CNAME xexds.gtm.XBOXLIVE.COM., A 65.55.42.20 (76)
22:05:50.904429 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:50.904480 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:05:51.067402 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63495 4/0/0 CNAME www.msftncsi.com.edgesuite.net., CNAME a1961.g2.akamai.net.,$
22:05:51.144695 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63498 4/0/0 CNAME www.msftncsi.com.edgesuite.net., CNAME a1961.g2.akamai.net.,$
22:05:51.223971 IP a88-221-134-147.deploy.static.akamaitechnologies.com.http > 192.168.4.10.53382: Flags [S.], seq 3773750122, ack 3211745514, win 29200, op$
22:05:51.303753 IP a88-221-134-147.deploy.static.akamaitechnologies.com.http > 192.168.4.10.53382: Flags [.], ack 141, win 237, length 0
22:05:51.304611 IP a88-221-134-147.deploy.static.akamaitechnologies.com.http > 192.168.4.10.53382: Flags [P.], seq 1:185, ack 141, win 237, length 184: HTTP$
22:05:51.383964 IP a88-221-134-147.deploy.static.akamaitechnologies.com.http > 192.168.4.10.53382: Flags [F.], seq 185, ack 142, win 237, length 0
22:05:52.906352 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:52.906393 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:05:54.908336 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:54.908371 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:05:56.910407 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:56.910443 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:05:57.947018 ARP, Request who-has 192.168.4.10 tell 192.168.4.250, length 28
22:05:58.912411 IP 192.168.4.250.1258 > 192.168.4.10.3074: UDP, length 1336
22:05:58.912449 IP 192.168.4.250.1259 > 192.168.4.10.3074: UDP, length 200
22:06:01.063934 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63521 2/0/0 CNAME xncsi.xboxlive.com.akadns.net., A 52.142.89.40 (95)
22:06:01.186298 IP 52.142.89.40.http > 192.168.4.10.32876: Flags [S.], seq 3717621280, ack 3708409341, win 8192, options [mss 1272,nop,wscale 8,nop,nop,sack$
22:06:01.288869 IP 52.142.89.40.http > 192.168.4.10.32876: Flags [FP.], seq 1:249, ack 97, win 1028, length 248: HTTP: HTTP/1.1 200 OK
22:06:01.503855 IP 52.142.89.40.http > 192.168.4.10.32876: Flags [.], ack 98, win 1028, length 0
22:06:01.504867 IP google-public-dns-a.google.com.domain > 192.168.4.10.1256: 63528 4/0/0 CNAME notice.xbox.com.nsatc.net., CNAME wildcard.xbox.com.edgekey.$
22:06:01.663666 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [S.], seq 3628519309, ack 3733368075, win 29200, optio$
22:06:03.903837 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [.], ack 124, win 229, length 0
22:06:04.267743 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [P.], seq 1:669, ack 124, win 229, length 668: HTTP: H$
22:06:04.267885 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [F.], seq 669, ack 124, win 229, length 0
22:06:04.864808 IP a2-16-56-151.deploy.static.akamaitechnologies.com.http > 192.168.4.10.48393: Flags [.], ack 125, win 229, length 0
0
Réponse 3 / 3
0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019
Modifié le 28 avril 2019 à 14:25
Oui en effet tu avais raison ! le souci était qu'il fallait préciser, sur le VPS comme sur le Pi, l'interface source concernée par la redirection, sans quoi c'était un vrai bazzard:

VPS: 
iptables -t nat -A PREROUTING -i ens3 -p udp -m udp --dport 3074-j DNAT --to-destination 10.8.0.6


PI: 
iptables -t nat -A PREROUTING -i tun0 -p udp -m udp --dport 3074-j DNAT --to-destination 192.168.4.10


Avec cette synthaxe ça marche au top, les ports sont redirigés nickel !

Le 3074 suffit pour le NAT ouvert, cependant pour une compatibilité parfaite j'ai suivit les consignes de Microsoft, R* et Portforward.com et j'ai ouvert (sauf le 80, utilisé par mon serveur http sur le vps):

Grand Theft Auto V - Xbox 360
TCP: 3074, 53, 80
UDP: 88, 3074, 53, 500, 3544, 4500, 6672,61455-61458

(source:

https://support.rockstargames.com/fr/articles/200525767/Resolution-de-problemes-de-connexion-a-GTA-Online-sur-PC
https://support.xbox.com/fr-FR/xbox-360/networking/network-ports-used-xbox-live
https://portforward.com/help/grand-theft-auto-v/
)

Le résultat est génial, avec cette configuration je n'ai plus aucune déconnexion intempestives ! Finit les hotes & sessions injoignables, les hôtes indésignables, les services Rockstar indisponibles ... Je suis à chaque fois dans des sessions bien remplies je peux rejoindre tous le monde, je peux héberger des parties rempli de joueur et tous le monde peux me rejoindre. Et le tout en 4G avec 2 barres. je pense que le MTU ajusté sur mon VPN joue aussi son rôle. En tous cas un bon point pour OVH, maintenant j'ai un VPN spécial gaming et j'en ai profité au passage pour me faire une p'tite seed box pour dl des distrib Linux, le tout pour 3.5 €/mois !

Merci brupala !!
0
brupala Messages postés 109454 Date d'inscription lundi 16 juillet 2001 Statut Membre Dernière intervention 26 avril 2024 13 623
28 avril 2019 à 15:13
:-)
Ce fut un plaisir ...
compliqué, mais un plaisir d'avoir pû aider un peu, car tu as quand même fait 99% du truc.
A enseigner dans les écoles :-)
0
0917725929 Messages postés 11 Date d'inscription lundi 22 avril 2019 Statut Membre Dernière intervention 28 avril 2019
Modifié le 28 avril 2019 à 15:56
Oui mais ta lecture de mes dumps tcp mon clairement indiqué le chemin :) Oui ce serait un sujet top en TP, J'ai fais un Bac pro SEN option TR il y a ~10 ans et on rigolait bien et ça aurait été motivant comme sujet tout le monde aurait suivit je suis sûr. Encore merci.
0

Discussions similaires

Un seul de mes écouteurs marche. Que faire ?
VM_417 -
vali54 -

4 réponses
Qu'est-ce qu'un port WSD pour imprimante?
largo99 -
Zebhib -

5 réponses
port icmp
qakou -
sd -

3 réponses
ping quel port ?
michel -
Géca -

28 réponses
2 comptes facebook avec même mail et même nom
sarabi21 -
MICHEL69220 -

12 réponses