configuration de la route

Salut,

mess-mate a écrit :

Voici ma configuration hardware:

modem
|eth0 (192.168.1.0)
router/firewall
|eth2(192.168.20.0) |eth1(192.168.10.0)
dmz lan

Je pinge comme ceci:
router vers dmz et lan
lan vers dmz et router

PAS dmz ni vers lan ni vers router.

Vers quelle adresse du routeur ? Ça devrait au moins marcher vers
l'adresse de eth2, sauf si filtrage sur le routeur.

D'autre part si le ping d'une machine du LAN vers la machine de la DMZ
passe et obtient une réponse, le ping dans l'autre sens devrait aussi
passer, sauf si filtrage sur le routeur ou la machine du LAN ou si
SNAT/MASQUERADE sur le routeur.

Le firewall de la machine en dmz est déactivé.

Et sur le routeur et la machine du LAN ?

Toutes les cartes sont montées de toutes les machines.

Par contre aucune route n'est définie dans la machine dmz.

Si cette machine a une configuration IP, elle a forcément une route. A
moins que tu aies voulu dire "aucune route par défaut" ? Dans ce cas
c'est une lacune. La machine en DMZ doit avoir comme passerelle par
défaut l'adresse 192.168.20.x de l'interface eth2 du routeur pour
qu'elle puisse joindre des destinations hors de son sous-réseau au delà
du routeur.

Si quelqu'un pourrait me donner les routes à établir (par défault)
pour les machines ?
Actuellement voici les 'route -n' :

- la machine 192.168.1.1 :
193.253.160.3 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

Je suppose que c'est le routeur ? Rien à signaler.

- la machine 192.168.20.1 :
192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

C'est la machine en DMZ ? Donc il y a bien une route. Comme dit plus
haut il manque une route par défaut pour communiquer hors du sous-réseau.

- la machine 192.168.10.2 :
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.10.1 0.0.0.0 UG 0 0 0 eth0

C'est une machine du LAN ? Rien à signaler.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Pascal Hambourg <pascal.mail@plouf.fr.eu.org> wrote:
| Salut,
|
| mess-mate a écrit :
| >Voici ma configuration hardware:
| >modem
| > |eth0 (192.168.1.0)
| > router/firewall
| > |eth2(192.168.20.0) |eth1(192.168.10.0)
| > dmz lan Je pinge comme ceci:
| >router vers dmz et lan
| >lan vers dmz et router
| >PAS dmz ni vers lan ni vers router.
|
| Vers quelle adresse du routeur ? Ça devrait au moins marcher vers l'a dresse de eth2, sauf si
| filtrage sur le routeur.
|
| D'autre part si le ping d'une machine du LAN vers la machine de la DMZ passe et obtient une
| réponse, le ping dans l'autre sens devrait aussi passer, sauf si filt rage sur le routeur ou
| la machine du LAN ou si SNAT/MASQUERADE sur le routeur.
|
| >Le firewall de la machine en dmz est déactivé.
|
| Et sur le routeur et la machine du LAN ?

Oui. déactivé.

|
| >Toutes les cartes sont montées de toutes les machines.
| >Par contre aucune route n'est définie dans la machine dmz.
|
| Si cette machine a une configuration IP, elle a forcément une route. A moins que tu aies
| voulu dire "aucune route par défaut" ? Dans ce cas c'est une lacune. La machine en DMZ doit
| avoir comme passerelle par défaut l'adresse 192.168.20.x de l'interfa ce eth2 du routeur pour
| qu'elle puisse joindre des destinations hors de son sous-réseau au de là du routeur.
|
| >Si quelqu'un pourrait me donner les routes à établir (par défaul t)
| >pour les machines ?
| >Actuellement voici les 'route -n' :
| >- la machine 192.168.1.1 :
| >193.253.160.3 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
| >192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
| >192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
| >192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
| >0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0
|
| Je suppose que c'est le routeur ? Rien à signaler.

Supposition exacte.

|
| >- la machine 192.168.20.1 :
| >192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
|
| C'est la machine en DMZ ? Donc il y a bien une route. Comme dit plus ha ut il manque une
| route par défaut pour communiquer hors du sous-réseau.
|
Oui, c'est ma machine du dmz.
J'arrive pas à y faire une route par défaut justement.

| >- la machine 192.168.10.2 :
| >192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
| >0.0.0.0 192.168.10.1 0.0.0.0 UG 0 0 0 eth0
|
| C'est une machine du LAN ? Rien à signaler.
|
Oui, c'est une machine du lan.


mess-mate
--

No violence, gentlemen -- no violence, I beg of you! Consider the furnit ure!
-- Sherlock Holmes

mess-mate a écrit :

| >PAS dmz ni vers lan ni vers router.
|
| Vers quelle adresse du routeur ? Ça devrait au moins marcher vers l'adresse de eth2, sauf si
| filtrage sur le routeur.

[Mais pourquoi diable mutt-ng fait-il des lignes si longues ?]

Pour que ce soit bien clair :
- la machine en DMZ a l'adresse 192.168.20.1/24
- l'interface eth2 du routeur vers la DMZ a pour adresse 192.168.20.x/24
- que donne le ping de la machine en DMZ vers 192.168.20.x ?

| >Le firewall de la machine en dmz est déactivé.
|
| Et sur le routeur et la machine du LAN ?

Oui. déactivé.

Et le NAT ?

| >- la machine 192.168.20.1 :
| >192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
|
| C'est la machine en DMZ ? Donc il y a bien une route. Comme dit plus haut il manque une
| route par défaut pour communiquer hors du sous-réseau.
|
Oui, c'est ma machine du dmz.
J'arrive pas à y faire une route par défaut justement.

Comment ça, tu n'y arrives pas ? Quel OS, quelle configuration, quelle
commande, quel résultat, quel message d'erreur... ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Pascal Hambourg <pascal.mail@plouf.fr.eu.org> wrote:
| mess-mate a écrit :
| >| >PAS dmz ni vers lan ni vers router.
| >| | Vers quelle adresse du routeur ? Ça devrait au moins marcher ver s l'adresse de eth2,
| >sauf si | filtrage sur le routeur.
|
| [Mais pourquoi diable mutt-ng fait-il des lignes si longues ?]
|
C'est ton MUA non? Le mien est mis en wrap auto à 72 caract.


| Pour que ce soit bien clair :
| - la machine en DMZ a l'adresse 192.168.20.1/24
| - l'interface eth2 du routeur vers la DMZ a pour adresse 192.168.20.x/2 4
| - que donne le ping de la machine en DMZ vers 192.168.20.x ?
La machine EN dmz a l'IP 192.168.20.1
Le réseau dmz a l'IP 192.168.20.0/24
Pinger vers la machine dmz ne pose pas de problème, c'est pinger à
pertir de la machine en dmz (serveur) vers les autres machines qui
donne 'network unreachable'.
J'ai déjà changé les cables, croisé, droit, sans résultat.

|
| >| >Le firewall de la machine en dmz est déactivé.
| >| | Et sur le routeur et la machine du LAN ?
| >Oui. déactivé.
|
| Et le NAT ?
|
si le firewall est déactivé y'a pas de nat ?

| >| >- la machine 192.168.20.1 :
| >| >192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
| >| | C'est la machine en DMZ ? Donc il y a bien une route. Comme dit pl us haut il manque une
| >| route par défaut pour communiquer hors du sous-réseau.
| >|
| >Oui, c'est ma machine du dmz.
| >J'arrive pas à y faire une route par défaut justement.
|
| Comment ça, tu n'y arrives pas ? Quel OS, quelle configuration, quell e commande, quel
| résultat, quel message d'erreur... ?
|
Debian/sarge.
un route add default gw 192.168.1.1 (router) eth1 donne:
network unreachable.
Pourtant un ifconfig donne bel et bien eth1 UP, mais dans la
/etc/network/run/ifstate il n'y est pas .


mess-mate
--

Your lucky color has faded.

mess-mate a écrit :

Pascal Hambourg <pascal.mail@plouf.fr.eu.org> wrote:
| mess-mate a écrit :
| >| >PAS dmz ni vers lan ni vers router.
| >| | Vers quelle adresse du routeur ? Ça devrait au moins marcher vers l'adresse de eth2,
| >sauf si | filtrage sur le routeur.
|
| [Mais pourquoi diable mutt-ng fait-il des lignes si longues ?]
|
C'est ton MUA non? Le mien est mis en wrap auto à 72 caract.

Après l'encodage en quoted-printable, peut-être. Mais le contenu une
fois décodé contient des lignes plus longues. Voir les "soft breaks"
(caractère =) en fin de ligne d'encodage qui indiquent de ne pas couper
la ligne au décodage.

| Pour que ce soit bien clair :
| - la machine en DMZ a l'adresse 192.168.20.1/24
| - l'interface eth2 du routeur vers la DMZ a pour adresse 192.168.20.x/24
| - que donne le ping de la machine en DMZ vers 192.168.20.x ?
La machine EN dmz a l'IP 192.168.20.1
Le réseau dmz a l'IP 192.168.20.0/24
Pinger vers la machine dmz ne pose pas de problème, c'est pinger à
pertir de la machine en dmz (serveur) vers les autres machines qui
donne 'network unreachable'.

Tu ne réponds pas à la question...
Pour les destination hors du sous-réseau, ce message d'erreur est normal
en l'absence de route appropriée (par défaut ou non).

J'ai déjà changé les cables, croisé, droit, sans résultat.

Un câble croisé entre deux ordinateurs est normal en ethernet 10Base-T
et fast ethernet 100Base-TX. Un câble droit peut fonctionner si au moins
une des deux interface gère le croisement automatique (auto-MDI).
De toute façon le câble est hors de cause puisque le ping vers la
machine en DMZ fonctionne, ce qui suppose que :
- le paquet de requête est bien passé du routeur vers la machine en DMZ,
- le paquet de réponse est bien passé de la machine DMZ vers le routeur.

si le firewall est déactivé y'a pas de nat ?

Ça dépend de ce qu'on entend par "firewall". Si ça englobe l'ensemble
des règles iptables, alors le NAT fait partie du firewall.

| >| >- la machine 192.168.20.1 :
| >| >192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
| >J'arrive pas à y faire une route par défaut justement.
|
| Comment ça, tu n'y arrives pas ? Quel OS, quelle configuration, quelle commande, quel
| résultat, quel message d'erreur... ?
|
Debian/sarge.
un route add default gw 192.168.1.1 (router) eth1 donne:
network unreachable.

Tu m'étonnes, cette adresse ne fait pas partie du sous-réseau
192.168.20.0/24. En mettant comme passerelle l'adresse de l'interface
eth2 du routeur, ça ne marche pas mieux ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Bonjour,

Le Mardi 27 Février 2007 18:14, mess-mate a écrit :

| >| >- la machine 192.168.20.1 :
| >| >192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
| >| >
| >| | C'est la machine en DMZ ? Donc il y a bien une route. Comme dit
| >| | plus haut il manque une
| >|
| >| route par défaut pour communiquer hors du sous-réseau.
| >
| >Oui, c'est ma machine du dmz.
| >J'arrive pas à y faire une route par défaut justement.
|
| Comment ça, tu n'y arrives pas ? Quel OS, quelle configuration, quelle
| commande, quel résultat, quel message d'erreur... ?

Debian/sarge.
un route add default gw 192.168.1.1 (router) eth1 donne:

192.168.20.1 eth0
Si j'ai tout suivi, on est sur une machine située en dmz.
Dans ce cas, la route est celle de sa passerelle (une machine sur le même
réseau qu'elle) et l'interface à mentionner est celui à utiliser, cho isi
parmis les interfaces de _cette_ machine, pas du routeur. (eth0
généralement).

Ah! grillé par Pascal. Tant pis, 2eme service :)

--
Serge

Serge Cavailles <debserge@free.fr> wrote:
| Bonjour,
|
| Le Mardi 27 Février 2007 18:14, mess-mate a écrit :
| > | >| >- la machine 192.168.20.1 :
| > | >| >192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
| > | >| >
| > | >| | C'est la machine en DMZ ? Donc il y a bien une route. Comme di t
| > | >| | plus haut il manque une
| > | >|
| > | >| route par défaut pour communiquer hors du sous-réseau.
| > | >
| > | >Oui, c'est ma machine du dmz.
| > | >J'arrive pas à y faire une route par défaut justement.
| > |
| > | Comment ça, tu n'y arrives pas ? Quel OS, quelle configuration, q uelle
| > | commande, quel résultat, quel message d'erreur... ?
| >
| > Debian/sarge.
| > un route add default gw 192.168.1.1 (router) eth1 donne:
|
| 192.168.20.1 eth0
| Si j'ai tout suivi, on est sur une machine située en dmz.
| Dans ce cas, la route est celle de sa passerelle (une machine sur le mê me
| réseau qu'elle) et l'interface à mentionner est celui à utiliser, choisi
| parmis les interfaces de _cette_ machine, pas du routeur. (eth0
| généralement).
|
Ben non, le réseau du dmz est 192.168.20.0/24 et son interfac eth0 (
j'ai enlevé la eth1).
La passerelle sur laquelle tourne un firewall est en réseau
192.168.1.1 ( le même réseau que celui du modem).
Le firewall à 3 interfaces eth0 eth1 eth2, dont eth0 vers ppp0, eth1
vers le réseau LAN 192.168.10.0/24 et eth2 connecté au DMZ du
firewall et vers le serveur 192.168.20.1.

Comme j'ai déjà évoqué, tout pinge sauf à partir de la machine en
dmz ! Ni vers le LAN, ni vers le web.
Je répète, toutes les machines peuvent pinger entre eux ET vers
celle en dmz sauf la machine en dmz qui ne peut pinger nulle part.

Oufff..

mess-mate
--

You definitely intend to start living sometime soon.

Le Tue, 27 Feb 2007 15:36:25 +0100,
mess-mate <mess-mate@wanadoo.fr> a écrit :

Bonjour,
maintenant que cette histoire de eth2 est résolue, j'ai des doutes
sur ma configuration des routes.
Pour l'instant tout marche sauf l'accès à mon serveur en dmz.
Voici ma configuration hardware:

modem
|eth0 (192.168.1.0)
router/firewall
|eth2(192.168.20.0) |eth1(192.168.10.0)
dmz lan

Je pinge comme ceci:
router vers dmz et lan
lan vers dmz et router

PAS dmz ni vers lan ni vers router.
Le firewall de la machine en dmz est déactivé.
Toutes les cartes sont montées de toutes les machines.

Par contre aucune route n'est définie dans la machine dmz.

Si quelqu'un pourrait me donner les routes à établir (par dà ©fault)
pour les machines ?
Actuellement voici les 'route -n' :

- la machine 192.168.1.1 :
193.253.160.3 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

- la machine 192.168.20.1 :
192.168.20.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

Insérer ici une ligne :
0.0.0.0 adresse-IP-eth2-du-router-parefeu 0.0.0.0 UG eth1
Avec adresse-IP-eth2-du-router-parefeu=192.168.20.x

- la machine 192.168.10.2 :
192.168.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.10.1 0.0.0.0 UG 0 0 0 eth0

Merci d'avance.
cordialement
mess-mate

Re,

Le Mardi 27 Février 2007 20:29, mess-mate a écrit :

| Si j'ai tout suivi, on est sur une machine située en dmz.
| Dans ce cas, la route est celle de sa passerelle (une machine sur le
| même réseau qu'elle) et l'interface à mentionner est celui à ut iliser,
| choisi parmis les interfaces de _cette_ machine, pas du routeur. (eth0
| généralement).

Ben non, le réseau du dmz est 192.168.20.0/24 et son interfac eth0 (
j'ai enlevé la eth1).

Tu confonds il me semble dans tes explications réseau et machine.
Sur ton réseau dmz et sur ton réseau lan, tu as des machines qui poss èdent
au moins chacune un interface et une IP associée.
Ton routeur possède un interface connecté à chaque réseau.
L'IP attribuée à chaque interface du routeur doit appartenir au résea u sur
lequel l'interface est connecté.

La passerelle sur laquelle tourne un firewall est en réseau
192.168.1.1 ( le même réseau que celui du modem).

La passerelle est sur les 3 réseaux, cela dépend de l'interface que l'o n
considère.

Le firewall à 3 interfaces eth0 eth1 eth2, dont eth0 vers ppp0, eth1
vers le réseau LAN 192.168.10.0/24 et eth2 connecté au DMZ du
firewall et vers le serveur 192.168.20.1.

Ce que tu appelles le firewall, sauf trompage de ma part, c'est la même
machine que ta passerelle. Le firewall n'est qu'un filtrage effectué par le
noyau de la passerelle sur les paquets en provenance ou à destination de
ses interfaces.

Comme j'ai déjà évoqué, tout pinge sauf à partir de la machine en
dmz ! Ni vers le LAN, ni vers le web.
Je répète, toutes les machines peuvent pinger entre eux ET vers
celle en dmz sauf la machine en dmz qui ne peut pinger nulle part.

Oui, avec du NAT entre le lan et la dmz on doit pouvoir avoir ce
comportement malgré l'absence de route. ;)

--
Serge