Le firewall d'OVH de mon IP autorise le port 443. Pourtant, la connexion à GitHub est bloquée

HenriC5 2022-07-15 15:25:51 UTC #1

Voici la configuration du firewall OVH pour l'IP de mon VPS

0 	Authorise 	TCP 	all 		80 	established 	Enabled 	
1 	Authorise 	TCP 	all 		443 	established 	Enabled 	
...
10 	Refuse 	TCP 	all 			established 	Enabled

(par ailleurs, rien dans $ sudo iptables -L -n -v --line-number sauf les 3 lignes par défaut)

Alors pourquoi ça ne marche pas ?
"Failed to connect to github.com port 443: Connection refused"

Et quand je désactive le firewall OVH, je peux installer les packages sans problème.

janus57 2022-07-16 06:38:52 UTC #2

Bonjour,

pourquoi cette règle ?

Cordialement, janus57

HenriC5 2022-07-16 08:15:27 UTC #3

@janus57 pourquoi cette règle ?

Si je ne mets pas la règle 10, alors les précédentes sont inutiles. Autant ne pas activer le Firewall d'OVH
Entre 1 et 10, j'autorise aussi les ports de mes API

En fait, bien que le message de GitHub indique seulement le port 443, je soupçonne qu'il a besoin d'un autre port pour assurer le téléchargement des paquets,(puisqu'avec le firewall désactivé ça marche). Mais lequel port ?

janus57 2022-07-16 09:58:35 UTC #5

Bonjour,

ça oui, mais pourquoi avoir mis le flag "established" ??

Ce flag ne devrais pas être là car sinon vous allez couper les connexion déjà établis sur d'autres ports.

Aussi elle devrais être en priorité 19 (pour vraiment être à la fin sachant que le firewall network est limité à 20 règles).

Enfin je rappel que le firewall network protège uniquement entre le réseau OVH et internet.

Doc : https://docs.ovh.com/fr/dedicated/firewall-network/

Cordialement, janus57

HenriC5 2022-07-16 10:35:22 UTC #6

@janus57 pourquoi avoir mis le flag "established" ?

Parce que je n'avais pas compris son rôle. (Pas expliqué dans https://docs.ovh.com/fr/dedicated/firewall-network/). Et effectivement, sur l'image, il n'est que sur la 1° ligne.

Oui, J'ai bien suivi la doc, là.

Merci pour tous ces éclaircissements :)

janus57 2022-07-16 10:39:56 UTC #7

Bonjour,

là pour le coup faut savoir comment fonctionne TCP, et c'est pas une doc OVH qui va vous l'apprendre.

Pour le faire en synthétique (connexion -> échange -> fermeture) :

Source : https://fr.wikipedia.org/wiki/Transmission_Control_Protocol

Cordialement, janus57

33990559d9985c676567 2022-07-29 12:49:59 UTC #8

Bonjour,

J'ai exactement le même problème sur mon VPS mais par contre je ne comprends pas, le pare-feu c'est pour les ports entrant, ici on essaie de contacter github donc le pare-feu ne devrait pas entrer en ligne de compte.
Chez moi le port 443 est de toute façon ouvert et n'a pas le "established"

33990559d9985c676567 2022-07-29 12:50:02 UTC #9

Le problème ne concerne pas que Github en fait, il y a vraiment quelque chose que je ne comprends pas.
Lorsque le pare-feu est actif, la sortie vers 8.8.8.8 en 443 est en time out et au moment ou je le désactive sur le dashboard OVH, la connexion passe en succeeded.
--
$ while true; do nc -znv 8.8.8.8 443 -w 1; done;
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
nc: connect to 8.8.8.8 port 443 (tcp) timed out: Operation now in progress
Connection to 8.8.8.8 443 port [tcp/*] succeeded!
Connection to 8.8.8.8 443 port [tcp/*] succeeded!
Connection to 8.8.8.8 443 port [tcp/*] succeeded!
Connection to 8.8.8.8 443 port [tcp/*] succeeded!
Connection to 8.8.8.8 443 port [tcp/*] succeeded!
Connection to 8.8.8.8 443 port [tcp/*] succeeded!
Connection to 8.8.8.8 443 port [tcp/*] succeeded!
Connection to 8.8.8.8 443 port [tcp/*] succeeded!
Connection to 8.8.8.8 443 port [tcp/*] succeeded!

janus57 2022-07-29 16:17:59 UTC #10

Bonjour,

si car vous attendez un retour du serveur d'en face.

Votre ligne 0 devrait plutôt être :

Comme expliqué dans la doc : https://docs.ovh.com/fr/dedicated/firewall-network/

Cordialement, janus57

33990559d9985c676567 2022-08-01 07:14:18 UTC #11

Bonjour,

J'ai réorganisé mes règles et j'ai ajouté celle en established en 0, pas de changement.
J'ai poussé le vice à tout ouvrir directement sur tout l'IPV4 et le problème persiste alors que j'ai bien des services non référencé sur les ports du pare-feu qui sont accessible.

Une idée ?

Propulsé par Discourse, le rendu est meilleur avec le JavaScript activé

OVHcloud Community

Bienvenue sur votre espace communautaire. Posez des questions, recherchez des informations, publiez du contenu et interagissez avec d’autres membres d'OVHcloud Community.