Boot bloqué sur chargement de profil apparmor lorsque iptables est actif - Debian 10

Support Debian
, ,
Tags: #<Tag:0x00007f50a019aeb8> #<Tag:0x00007f50a019adc8> #<Tag:0x00007f50a019acb0>
#1

Salut,

J’opère un serveur de jeu sous Debian 10 (oui, 10, car c’est un très vieux jeu, avec un B3/BigBrotherBot, dont les librairies, notamment python, qui descendent avec les versions supérieures de Debian ne sont plus compatibles, et compliquent substantiellement le fonctionnement…) sur un dédié OVH. Le serveur héberge accessoirement aussi quelques sites web sous apache2 (un forum, un Echelon pour la gestion de la modération du jeu, et un adminer pour l’administration des bases de données) et les les bases de données qui vont avec (MariaDB)

Le serveur a les sécurités d’usages :

  • un pare-feu iptables avec une politique de blocage par defaut, seuls les ports nécessaires sont autorisés qui démarre avec l’activation du réseau (script de configuration executable placé dans if-up.d)
  • du fail2ban qui ne chôme pas, ça ban à tour de bras les bot, scanneurs, scripts kiddies…
  • les sites sont en https, avec une gestion du renouvellement des certificats via Let’s encrypt (procédure suivie selon la doc OVH)
  • j’ai desactivé IPV6 car on n’en a pas besoin, et puis iptables ne le gère pas…

Tout marchait plutôt très bien jusqu’il y a peu, où, lors d’un redémarrage du serveur, celui ci s’est retrouvé bloqué sur une ligne :

audit : type=1400 […] apparmor=« STATUS » operation=« profile_load » profile=« unconfined » name=« snap-update-ns.core » pid = 563 comm=« apparmor_parser »

Je vous passe les détails pour démmerder ce genre de problème sur un serveur distant (obligé de se loguer en KVM en mode « rescue », car pas de réseau, donc pas de SSH, montage de la partition, diagnostic, correction, repassage au mode normal, reboot, etc…)
J’ai eu le nez creux, et me suis immédiatement aperçu que le problème ne se produisait que lorsque le pare-feu était actif : En panne d’inspiration (et de connaissance suffisante), je me suis résolu à contourner le problème en différant un peu le démarrage du pare-feu une fois le reseau « up », ce qui évite à présent de bloquer le démarrage.

Cependant, bien conscient que cela n’est ni une correction, ni bonne solution car peu secure (j’ai en tête une position du célèbre PascalHambourg indiquant qu’un pare feu doit toujours démarrer avant l’activation de l’interface réseau, et ne s’arrêter qu’après la désactivation de celle ci), j’en appelle à vos compétences pour m’aider à comprendre comment résoudre le plus proprement possible ce problème (peut-être une règle à rajouter dans mon script de conf. de iptables, mais je ne vois vraiment pas laquelle…).

Je pourrais communiquer mon script iptables, si nécessaire, mais sachant qu’il a très bien fonctionné pendant plus de 3 mois, je doute qu’il soit directement en cause, si ce n’est par absence d’une autorisation spécifique à ce « apparmor ».

Merci d’avance.
Dric64

#2

pbapparmor
Voici un screenshot du moment exact ou le démarrage se bloque.

#3

my two cents ! les environnement python et docker sont la pour ça en générale :wink:

Concernant ton souci … As-tu configuré apparmor ? si oui teste un redémarrage après l’avoir désactivé :wink:

si ça redémarre sans souci avec ton firewall non désactivé au démarrage tu aura trouver une partie du problème.

#4

Salut Clochette, et merci de ta réponse.

Je ne connaissais pas Docker, mais en effet, ça pourrait peut être adresser notre problème de compatibilité avec les vieilles librairies. Je note pour une future install !

Concernant apparmor : Pour être tout à fait honnête, je ne m’étais même pas aperçu de son existence avant d’avoir ce problème de blocage (je suis même bien incapable de te dire s’il était là dès l’install du serveur, ou s’il est arrivé avec une mise à jour quelconque… je pencherais pour la 2eme solution, puisque le pare-feu, lui est la depuis le début et n’a jamais posé aucun problème). Je n’ai absolument rien configuré, ce qu’il fait, il le fait via une conf. « par défaut ». Etant donné que c’est à priori une couche de sécurité, je n’ai pas osé la désactiver « au petit bonheur la chance ».

#5

Les règles iptables ne bloqueraient pas du trafic sur l’interface de loopback ?

#6

Salut Pascal,

Je ne pense pas, à moins que quelque chose ne m’échappe, les règles d’autorisation du trafic local sont bien là, j’imagine que tu parles de celles-là :

# Communications services réseau <--> boucle locale (IN et OUT)

		        $IPTABLES -t filter -A INPUT -i lo -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -o lo -j ACCEPT

Voici le script iptables complet , au cas ou ton oeil avertis saurait repérer ce qui manque ou qui est foireux (Tuco, c’est moi :sweat_smile:)

#!/bin/sh
#
# Version : 3
# Date de derniere maj : 30.08.2024
# Dernier auteur : Tuco

# V1   - 30.05.2024 : Init script IPV4
# V2   - 05.06.2024 : Rajoute regles tos pour diminuer lag / minimize delay + reorg des règles (les plus sollicitees en debut de pile)
# V2.1 - 18.06.2024 : Autorisation OUT du whois pour mise à jour des subnets ASN (port 43 tcp)
# V3   - 30.08.2024 : rajout des commandes case start et stop pour prise en charge par init.d / rcS.d

# Pre-requisite to autostart : xx.06.2024 - symlink 001Iptables_rules --> /home/debian/Tuco_files/Iptables_rules.sh in /etc/network/if-up.d folder  --> Obsolete --> crée un blocage au boot sur apparmor
#                              30.08.2024 - symlink Iptable_rules.sh dans /etc/init.d et creation des symlink sur runlevel S2345 via update-rc.d defaults (activation apres le reseau)


### BEGIN INIT INFO
# Provides:     Iptables_rules.sh
# Required-Start: $networking
# Should-Start:
# Required-Stop:
# Should-Stop:
# Default-Start: S 2 3 4 5
# Default-Stop:
# Description:    Firewall
### END INIT INFO


# Définition du PATH iptables
IPTABLES="/usr/sbin/iptables"

case "$1" in
        start)

		###############################################################################################################################################################
		############## Politique par defaut - IPV4 : on refuse TOUT le traffic sur la table filter et on efface les règles / chaines existantes  ######################
		###############################################################################################################################################################

		# Reinitialisation de la table FILTER
			$IPTABLES -t filter -P INPUT DROP
			$IPTABLES -t filter -P OUTPUT DROP
			$IPTABLES -t filter -P FORWARD DROP

			$IPTABLES -t filter -F # Supression de toutes les règles existantes
			$IPTABLES -t filter -X # Supression de toutes les chaines existantes

		# Test d'existance et reinitialisation de la table NAT
			#if grep -q nat /proc/net/ip_tables_names
			#then
			#        $IPTABLES -t nat -P PREROUTING DROP
			#        $IPTABLES -t nat -P POSTROUTING DROP
			#        $IPTABLES -t nat -P OUTPUT DROP
		 
				 $IPTABLES -t nat -F
				 $IPTABLES -t nat -X
			#fi

		# Test d'existance et reinitialisation de la table MANGLE
		        #if grep -q mangle /proc/net/ip_tables_names
		        #then
		        #        $IPTABLES -t mangle -P PREROUTING DROP
		        #        $IPTABLES -t mangle -P INPUT DROP
		        #        $IPTABLES -t mangle -P OUTPUT DROP
		        #        $IPTABLES -t mangle -P FORWARD DROP
		        #        $IPTABLES -t mangle -P POSTROUTING DROP

		                 $IPTABLES -t mangle -F
		                 $IPTABLES -t mangle -X
        		#fi

		# Test d'existance et renitialisation de la table RAW
		        #if grep -q raw /proc/net/ip_tables_names
		        #then
		        #        $IPTABLES -t raw -P PREROUTING DROP
		        #        $IPTABLES -t raw -P OUTPUT DROP

		                 $IPTABLES -t raw -F
		                 $IPTABLES -t raw -X
      			#fi


		#################################################################################################################
		#####################            19.05.2024 : Blacklist VPN ranges / IPSET               ########################
		#################################################################################################################

		        # Prerequis : installation du paquet ipset
		        # Creation de la blacklist 'blacklist_vpn_range' via commande: ipset create blacklist_vpn_ranges hash:net
			# Blacklist alimentée par un script annexe récupérant chaque nuit depuis whois.radb.net, tous les "network ranges" appartenant à chaque ASN renseigné dans le fichier ASN_Subnet.txt 
        
			$IPTABLES -t filter -I INPUT -m set --match-set blacklist_vpn_ranges src -j DROP






		#################################################################################################################
		#####################                           Trafic autorisé                          ########################
		#################################################################################################################

		# Communications services réseau <--> boucle locale (IN et OUT)

		        $IPTABLES -t filter -A INPUT -i lo -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -o lo -j ACCEPT

		        # Desactivation du tracking de communication sur l'adresse locale pour economiser du CPU et memoire en cas de gros traffic --> Règle virée car pas concluante in game
		        #$IPTABLES -t raw -A PREROUTING -i lo -j NOTRACK
		        #$IPTABLES -t raw -A OUTPUT -o lo -j NOTRACK

		# Suivi de connexion (related, established) du trafic autorisé
		        $IPTABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
		
		# Règle / marquage paquet sensée optimiser la latence (tos 0x10 Minimize-Delay) - appliquée au ports du jeu : Ca a l'air de faire quelque chose, lag quasi disparu depuis implementation de la regle.
		        $IPTABLES -t mangle -A PREROUTING -p udp --dport 27960 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A PREROUTING -p udp --sport 27960 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A PREROUTING -p udp --dport 27965 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A PREROUTING -p udp --sport 27965 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A PREROUTING -p udp --dport 27970 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A PREROUTING -p udp --sport 27970 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A PREROUTING -p udp --dport 30000 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A PREROUTING -p udp --sport 30000 -j TOS --set-tos 0x10

		        $IPTABLES -t mangle -A POSTROUTING -p udp --dport 27960 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A POSTROUTING -p udp --sport 27960 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A POSTROUTING -p udp --dport 27965 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A POSTROUTING -p udp --sport 27965 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A POSTROUTING -p udp --dport 27970 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A POSTROUTING -p udp --sport 27970 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A POSTROUTING -p udp --dport 30000 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A POSTROUTING -p udp --sport 30000 -j TOS --set-tos 0x10

		        $IPTABLES -t mangle -A OUTPUT -p udp --sport 27960 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A OUTPUT -p udp --sport 27965 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A OUTPUT -p udp --sport 27970 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A OUTPUT -p udp --sport 30000 -j TOS --set-tos 0x10

		        $IPTABLES -t mangle -A INPUT -p udp --dport 27960 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A INPUT -p udp --dport 27965 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A INPUT -p udp --dport 27970 -j TOS --set-tos 0x10
		        $IPTABLES -t mangle -A INPUT -p udp --dport 30000 -j TOS --set-tos 0x10

		        #$IPTABLES -A PREROUTING -t mangle -p udp --dport 27900:27999 -j DSCP --set-dscp-class EF 	# Pas d'effet notable in game - Règle virée
		        #$IPTABLES -A OUTPUT -t mangle -p udp --dport 27900:27999 -j DSCP --set-dscp-class EF		# Pas d'effet notable in game - Règle virée
		        #$IPTABLES -A OUTPUT -t mangle -p udp --sport 27900:27999 -j DSCP --set-dscp-class EF		# Pas d'effet notable in game - Règle virée
		        #$IPTABLES -A INPUT -t mangle -p udp --dport 27900:27999 -j DSCP --set-dscp-class EF		# Pas d'effet notable in game - Règle virée

		# Trafic Urt
		        # Autoriser 24R
		        $IPTABLES -t filter -A INPUT -p udp --dport 27960 -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -p udp --dport 27960 -j ACCEPT

		        # Autoriser TDM
		        $IPTABLES -t filter -A INPUT -p udp --dport 27965 -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -p udp --dport 27965 -j ACCEPT

		        # Autoriser GG
		        $IPTABLES -t filter -A INPUT -p udp --dport 27970 -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -p udp --dport 27970 -j ACCEPT

		        # Autoriser GM
		        $IPTABLES -t filter -A INPUT -p udp --dport 30000 -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -p udp --dport 30000 -j ACCEPT

		        # Publication des serveurs
		        $IPTABLES -t filter -A OUTPUT -d 168.119.32.222 -j ACCEPT					# Trafic sortant vers Frozensand Urbanterror.info (master2.urbanterror.info)
		        $IPTABLES -t filter -A OUTPUT -d 198.20.216.53 -j ACCEPT			                # Trafic sortant vers Zenimax / IdSoftware (master.quake3arena.com)
		        $IPTABLES -t filter -A OUTPUT -d 5.135.189.142 -j ACCEPT					# Trafic sortant master.urbanterror.info

		# Services Web (IN pour forum/adminer/echelon et OUT pour maj debian)
		        $IPTABLES -t filter -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
		        $IPTABLES -t filter -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

		        $IPTABLES -t filter -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT                                  # Necessaire pour maj debian apt-get
		        $IPTABLES -t filter -A OUTPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT                                 # Necessaire pour maj debian apt-get

		# Connexion SSH (IN)
		        $IPTABLES -t filter -A INPUT -p tcp --dport 56789 -j ACCEPT							

		# Trafic DHCP (IN et OUT)
		        $IPTABLES -t filter -A OUTPUT -m state --state NEW -p udp --dport 67 -j ACCEPT                                  # Sortant : envoi requête sur broadcast:67 (bootps)
		        $IPTABLES -t filter -A INPUT -m state --state NEW -p udp --dport 68 -j ACCEPT                                   # Entrant : réception adresse sur 68(bootpc)
		        $IPTABLES -t filter -A INPUT -m state -d 255.255.255.255 --state NEW -p udp --sport 68 --dport 67 -j ACCEPT     # DHCPACK message

		# Trafic ICMP (ping) (IN et OUT)
		        $IPTABLES -t filter -A INPUT -m state --state NEW -p icmp -j ACCEPT                                             # Autoriser réception d'un ping (venant de tout le monde)
		        $IPTABLES -t filter -A OUTPUT -m state --state NEW -p icmp -j ACCEPT                                            # Autoriser envoi d'un ping

		# Service NTP (IN)
		        $IPTABLES -t filter -A INPUT -p udp --dport 123 -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

		# Trafic DNS (OUT only car pas de service DNS hebergé sur cette machine)
		        $IPTABLES -t filter -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT                                  # DNS resolution
		        $IPTABLES -t filter -A OUTPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT                                  # DNS resolution over tcp

		# Trafic NFS sortant (backup vers ftpback-rbx3-341.ovh.net)
		        $IPTABLES -t filter -A OUTPUT -d ftpback-rbx3-341.ovh.net -m state --state NEW -p udp --dport 111 -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -d ftpback-rbx3-341.ovh.net -m state --state NEW -p tcp --dport 111 -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -d ftpback-rbx3-341.ovh.net -m state --state NEW -p udp --dport 2049 -j ACCEPT
		        $IPTABLES -t filter -A OUTPUT -d ftpback-rbx3-341.ovh.net -m state --state NEW -p tcp --dport 2049 -j ACCEPT

		# 18/06/2024 : Trafic WHOIS sortant (recup ASN subnets)
		        $IPTABLES -t filter  -A OUTPUT -m state --state NEW -p tcp --dport 43 -j ACCEPT

		#Bloquer ASN    !! does NOT work !! --> Related subnets retrieved to ipset vpn blacklist
		#       $IPTABLES -A INPUT -p tcp -m asn --src-asn 13188 -j DROP
		#       $IPTABLES -A INPUT -p tcp -m asn --src-asn 136787 -j DROP
		#       $IPTABLES -A INPUT -p tcp -m asn --src-asn 207083 -j DROP
		#       $IPTABLES -A INPUT -p tcp -m asn --src-asn 212238 -j DROP
		#       $IPTABLES -A INPUT -p tcp -m asn --src-asn 2852 -j DROP
		#       $IPTABLES -A INPUT -p tcp -m asn --src-asn 60068 -j DROP
		#       $IPTABLES -A INPUT -p tcp -m asn --src-asn 680 -j DROP
		#       $IPTABLES -A INPUT -p tcp -m asn --src-asn 9009 -j DROP


		# Autre trafic
		        #$IPTABLES -blablabla
		        #$IPTABLES -blablabla
		        # [...]


		# Whitelist
		#       $IPTABLES -A INPUT -s XX.XX.XX.XX -j ACCEPT # Fax static IP address


		###############################################################################################################################
		##############################         Logs - À GARDER À LA FIN DU FICHIER      ###############################################
		###############################################################################################################################

		        #prerequis :
		        #       0. creation d'un fichier de log dans /var/log/iptables.log dédié aux log iptables
		        #       1. creation du fichier de configuration de rsyslog dédié /etc/rsyslog.d/20-iptables.conf
		        #       2. rajout lignes suivants pour rediriger les logs iptables dans le bon fichier de log, et interdire l'ecriture dans des fichiers de logs differents (ex: /var/log/kern.log)
		        #               :msg,contains, "[IPTABLES" -/var/log/iptables.log
		        #               :msg,contains, "[IPTABLES" stop
		        #       3. redemarrer le service rsyslog via la commande : systemctl restart rsyslog

		        # Affichage des log iptables : cat /var/log/iptables.log
		        # Affichage temps réel du trafic DROP : tail -f /var/log/iptables.log


		        # J ai coupé l'ecriture dans les logs pour diminuer les I/O sur le HDD :
		        #$IPTABLES -I INPUT -m set --match-set blacklist_vpn_ranges src -j LOG --log-prefix '[IPTABLES DROP IN VPN]'                    # 20.05.2024 : Log tentative connexion via VPN - 04.06.2024 : Desactivation pour diminuer les i/o hdd
		        #$IPTABLES -A INPUT -j LOG --log-prefix '[IPTABLES DROP IN] : '    # Log tentatives d'intrusions / Trafic entrant rejeté        # 04.06.2024 : Desactivation pour diminuer les i/o hdd
		        #$IPTABLES -A OUTPUT -j LOG --log-prefix '[IPTABLES DROP OUT] : '  # Log trafic sortant rejeté                                  # 04.06.2024 : Desactivation pour diminuer les i/o hdd
		        #$IPTABLES -A FORWARD -j LOG --log-prefix '[IPTABLES DROP FWD] : ' # Log trafic NATé                                            # 04.06.2024 : Desactivation pour diminuer les i/o hdd





		###############################################################################################################################
		#########################          Redemarrage fail2ban apres rechargement de iptables          ###############################
		###############################################################################################################################

		        systemctl restart fail2ban

		        /usr/sbin/iptables -L -n

		##############################################         Fin du script              #############################################

;;
        stop)
                /etc/Tuco_Scripts.d/Iptables_scripts/RAZ_iptables_v1.0.sh
;;
        *)
        echo "command : Iptables_rules.sh start|stop"
esac

La blacklist_vpn_range contient à ce jour 29851 sunbets correspondants a cette liste d’ASN (qui sont associés à priori à des fournisseurs d’accès VPN, mais je n’ai pas vérifié, c’est le propriétaire du serveur qui maintient cette liste) :

AS13188
AS136787
AS147049
AS16509
AS207083
AS208604
AS212238
AS25521
AS2852
AS36599
AS43350
AS60068
AS680
AS7922
AS9009

#7

Oui, je parlais bien de ces règles. Peut-être qu’en loggant les paquets bloqués tu pourrais voir quelque chose.

1 J'aime
#8

Est que apparmor apparait dasn ton grub.cfg?
grep -in apparmor /boot/grub/grub.cfg

Et qu’as tu comme configuration apparmor?
aa-status donne quoi?

#9

J’espérais éviter de me retaper un blocage de boot, donc je suis venu voir ici en cas que quelqu’un ait la solution clef en main :sweat_smile: mais effectivement, tu as raison, je vais réactiver mes logs pour voir ce que ça raconte…

EDIT : à l’étape ou se bloque le démarrage, le réseau n’est pas encore up (il s’active juste après cette ligne, au boot), donc il n’y aura rien en fait dans les logs… non ? :thinking:

#10

Hello Zargos,
Je suis bêtement tes commandes, car je connais pas du tout apparmor :sweat_smile: :

Apparemment, pas de apparmor dans le grub :

root@nsXXX:/home/debian# grep -in apparmor /boot/grub/grub.cfg
root@nsXXX:/home/debian#

Config apparmor : il y a des choses de paramétrées, on dirait (mais pas par moi, ça doit être des config. par défaut, peut être pré-implémentées dans les config des iso poussées par OVH…?) :

root@nsXXX:/home/debian# /usr/sbin/aa-status
apparmor module is loaded.
24 profiles are loaded.
20 profiles are in enforce mode.
/snap/core/17200/usr/lib/snapd/snap-confine
/snap/core/17200/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
/usr/bin/man
/usr/lib/snapd/snap-confine
/usr/lib/snapd/snap-confine//mount-namespace-capture-helper
/usr/sbin/ntpd
man_filter
man_groff
nvidia_modprobe
nvidia_modprobe//kmod
snap-update-ns.certbot
snap-update-ns.certbot-dns-ovh
snap-update-ns.core
snap-update-ns.hello-world
snap.certbot-dns-ovh.hook.post-refresh
snap.core.hook.configure
snap.hello-world.env
snap.hello-world.evil
snap.hello-world.hello-world
snap.hello-world.sh
4 profiles are in complain mode.
snap.certbot.certbot
snap.certbot.hook.configure
snap.certbot.hook.prepare-plug-plugin
snap.certbot.renew
1 processes have profiles defined.
1 processes are in enforce mode.
/usr/sbin/ntpd (810)
0 processes are in complain mode.
0 processes are unconfined but have a profile defined.
root@nsXXX:/home/debian#

==> je reconnais effectivement dans la liste le profil snap-update-ns.core qui se bloque quand le fw démarre avec l’interface reseau / if-up. Je vois pas mal de « certbot », donc ça pourrait être en rapport avec la procédure de renouvellement du certificat ssl : il essaye de faire quelque chose à ce moment la, et le fw l’en empêche :thinking: du coup, il reste coincé… ?
En fait, je vois pas ce que peut être ce « .core » qui se bloque, a-t’il un rapport avec certbot ?

Je vais tenter de reactiver les logs iptables, comme Pascal le suggère au dessus, s’il essaye de se connecter quelque part pour je ne sais quelle obscure raison de renouvellement de je ne sais quoi au niveau du certificat, je devrais voir des drops :thinking: