Re: traceroute / iptables

To: debian-user-french@lists.debian.org
Subject: Re: traceroute / iptables
From: fra-duf-no-spam@tourde.org (François TOURDE)
Date: Tue, 17 Nov 2015 18:26:12 +0100
Message-id: <[🔎] 878u5w5yh7.fsf@tourde.org>
In-reply-to: <[🔎] 39CC5DEF-64B8-434D-8377-6E6EFB72BE50@worldonline.fr> (Philippe Gras's message of "Tue, 17 Nov 2015 17:52:23 +0100")
References: <[🔎] 39CC5DEF-64B8-434D-8377-6E6EFB72BE50@worldonline.fr>

Le 16756ième jour après Epoch,
Philippe Gras écrivait:

> Bonjour à toutes et à tous,

Bonjour.

>
> 1). comme je viens de découvrir traceroute, je l'ai essayé sur mon serveur :
>
> # traceroute google.com
> traceroute to google.com (216.58.211.206), 30 hops max, 60 byte packets
> send: Opération non permise

[...]

> Chain OUTPUT (policy DROP 2077 packets, 274K bytes)
> …
> 1357K  108M ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
> 39257 2984K ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:123

[...]

> Où ai-je merdé dans ma configuration iptables ?

Merdé n'est pas vraiment le mot. Tu n'autorise que 2 ports UDP en
sortie, et traceroute va par défaut incrémenter les ports UDP à chaque
test. Donc en général ça n'a pas le droit de sortir du coup.

Essaye avec -U ou -UL pour forcer en UDP port 53

> 2). Ci-dessus, je vois que mon serveur est à 5 sauts de Cloudflare, mais à 9 sauts de
> Google. C'est par ailleurs marrant quand je compare avec Google VF :
>
> # traceroute -I google.fr
> traceroute to google.fr (216.58.211.195), 30 hops max, 60 byte packets
>  1  vss-9b-6k.fr.eu (5.135.191.252)  0.650 ms  0.925 ms  0.974 ms
>  2  rbx-g1-a9.fr.eu (178.33.100.207)  0.936 ms  0.955 ms  0.966 ms
>  3  th2-1-a9.fr.eu (213.251.130.53)  4.044 ms  4.073 ms  4.088 ms
>  4  * * *
>  5  72.14.238.234 (72.14.238.234)  7.014 ms  7.028 ms  7.040 ms
>  6  209.85.245.83 (209.85.245.83)  4.815 ms  13.509 ms  13.451 ms
>  7  209.85.245.236 (209.85.245.236)  20.128 ms  20.187 ms  20.139 ms
>  8  216.239.50.135 (216.239.50.135)  19.718 ms  19.463 ms  19.586 ms
>  9  mad01s25-in-f195.1e100.net (216.58.211.195)  20.023 ms  20.036 ms  19.944 ms
>
> Ça veut dire que google.{com | fr } est au même endroit (Mountain View
> ?) ;-)

C'est quoi google? :-P

> Existe-t-il un outil qui permette de choisir ses routes en fonction d'un algorithme lambda,
> afin que je rapproche mon serveur de Google par exemple ?

À moins de tirer assez fort le câble RJ45 pour rapprocher google de chez
toi, les routes sont choisies à chaque noeud, selon pas mal de critères
comme la charge machine, l'encombrement de ligne, etc...

Tu ne peux en général pas forcer une route particulière.

Reply to:

Follow-Ups:
- Re: traceroute / iptables
  - From: Philippe Gras <ph.gras@worldonline.fr>

References:
- traceroute / iptables
  - From: Philippe Gras <ph.gras@worldonline.fr>

Prev by Date: traceroute / iptables
Next by Date: Re: traceroute / iptables
Previous by thread: traceroute / iptables
Next by thread: Re: traceroute / iptables
Index(es):
- Date
- Thread