J'ai 2 réseau avec entre les 2 un firewall (Linux debian 2.6).
Je n'arrive pas à "pinger" d'un réseau vers l'autre.
Mes cartes réseaux sont bien configurées. Depuis le firewall, le ping est OK
vers chacun des réseau.
Côté règles iptables, j'ai tout mis à ACCEPT (pour le moment).
J'ai mis un analyseur réseau du côté destination du ping : rien.
J'ai lu que les chaines et tables concernées sont, dans l'ordre,
mangle-PREROUTING, nat-PREROUTING, mangle-FORWARD, filter-FORWARD,
mangle-POSTROUTING, et nat-POSTROUTING. J'ai donc surveillé les compteurs.
J'ai même ajouté des règles de LOG. Conclusion : les trames semblent passer
"nat-PREROUTING" mais pas "mangle-FORWARD".
Où peut être le problème ? Je ne vois pas du tout. Qu'y a-t-il entre
"nat-PREROUTING" et "mangle-FORWARD" ? Est-ce un problème de routage ?
Faut-il un minimum de règles iptables (j'ai quasiment aucune règle, tout à
ACCEPT) ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Mathieu Geli
Bonsoir,
J'aurais plutôt posté ça dans fr.comp.reseaux.ip perso, mais c'est qu'une affaire de goûts. Bon, il y quelques inconnues, mais je suppose que vous voulez faire jouer le rôle de routeur à votre firewall.
Côté règles iptables, j'ai tout mis à ACCEPT (pour le moment).
dans ce cas, ça ne devrait pas bloquer au niveau d'iptables...
Est-ce un problème de routage ?
Ca m'a tout l'air, avez vous activé l'ip_forward sur le firewall ? si oui, vous devriez avoir ça : :~# cat /proc/sys/net/ipv4/ip_forward 1
Est-ce que les machines de chaque réseau on leur route vers l'autre réseau avec comme passerelle le firewall ? (ou leur route par défaut sur le firewall tout court)
L'autre cas très improbable auxquel je pense est que les deux réseaux physiquement distinct (pas sur le même brin ethernet) sont sur le même sous-réseaux. Dans ce cas, c'est plutôt du côté du proxy ARP qu'il faudrait chercher pour le firewall, mais je ne pourrais pas vous en dire plus à ce propos, il y a surement des très bon HOWTO sur le net.
-- Mathieu
Bonsoir,
J'aurais plutôt posté ça dans fr.comp.reseaux.ip perso, mais c'est qu'une affaire de goûts.
Bon, il y quelques inconnues, mais je suppose que vous voulez faire jouer le rôle de routeur à votre firewall.
Côté règles iptables, j'ai tout mis à ACCEPT (pour le moment).
dans ce cas, ça ne devrait pas bloquer au niveau d'iptables...
Est-ce un problème de routage ?
Ca m'a tout l'air, avez vous activé l'ip_forward sur le firewall ?
si oui, vous devriez avoir ça :
root@ganymede:~# cat /proc/sys/net/ipv4/ip_forward
1
Est-ce que les machines de chaque réseau on leur route vers l'autre réseau avec comme passerelle le firewall ?
(ou leur route par défaut sur le firewall tout court)
L'autre cas très improbable auxquel je pense est que les deux réseaux physiquement distinct
(pas sur le même brin ethernet) sont sur le même sous-réseaux.
Dans ce cas, c'est plutôt du côté du proxy ARP qu'il faudrait chercher pour le firewall, mais je ne pourrais pas
vous en dire plus à ce propos, il y a surement des très bon HOWTO sur le net.
J'aurais plutôt posté ça dans fr.comp.reseaux.ip perso, mais c'est qu'une affaire de goûts. Bon, il y quelques inconnues, mais je suppose que vous voulez faire jouer le rôle de routeur à votre firewall.
Côté règles iptables, j'ai tout mis à ACCEPT (pour le moment).
dans ce cas, ça ne devrait pas bloquer au niveau d'iptables...
Est-ce un problème de routage ?
Ca m'a tout l'air, avez vous activé l'ip_forward sur le firewall ? si oui, vous devriez avoir ça : :~# cat /proc/sys/net/ipv4/ip_forward 1
Est-ce que les machines de chaque réseau on leur route vers l'autre réseau avec comme passerelle le firewall ? (ou leur route par défaut sur le firewall tout court)
L'autre cas très improbable auxquel je pense est que les deux réseaux physiquement distinct (pas sur le même brin ethernet) sont sur le même sous-réseaux. Dans ce cas, c'est plutôt du côté du proxy ARP qu'il faudrait chercher pour le firewall, mais je ne pourrais pas vous en dire plus à ce propos, il y a surement des très bon HOWTO sur le net.
-- Mathieu
Xavier
Bonjour Mathieu,
Grand merci pour ta réponse. C'était effectivement ip_forward qui n'était pas à 1. Je me doutais bien que c'était peut-être le forwarding qui n'était pas activé, mais je ne savais pas comment le faire.
Encore merci pour ta réponse et ton aide, je suis débloqué, je vais pouvoir poursuivre.
Xavier
"Mathieu Geli" a écrit dans le message de news:
Bonsoir,
J'aurais plutôt posté ça dans fr.comp.reseaux.ip perso, mais c'est qu'une affaire de goûts.
Bon, il y quelques inconnues, mais je suppose que vous voulez faire jouer le rôle de routeur à votre firewall.
Côté règles iptables, j'ai tout mis à ACCEPT (pour le moment).
dans ce cas, ça ne devrait pas bloquer au niveau d'iptables...
Est-ce un problème de routage ?
Ca m'a tout l'air, avez vous activé l'ip_forward sur le firewall ? si oui, vous devriez avoir ça : :~# cat /proc/sys/net/ipv4/ip_forward 1
Est-ce que les machines de chaque réseau on leur route vers l'autre réseau avec comme passerelle le firewall ?
(ou leur route par défaut sur le firewall tout court)
L'autre cas très improbable auxquel je pense est que les deux réseaux physiquement distinct
(pas sur le même brin ethernet) sont sur le même sous-réseaux. Dans ce cas, c'est plutôt du côté du proxy ARP qu'il faudrait chercher pour le firewall, mais je ne pourrais pas
vous en dire plus à ce propos, il y a surement des très bon HOWTO sur le net.
-- Mathieu
Bonjour Mathieu,
Grand merci pour ta réponse. C'était effectivement ip_forward qui n'était
pas à 1. Je me doutais bien que c'était peut-être le forwarding qui n'était
pas activé, mais je ne savais pas comment le faire.
Encore merci pour ta réponse et ton aide, je suis débloqué, je vais pouvoir
poursuivre.
Xavier
"Mathieu Geli" <geli@enseirb.fr> a écrit dans le message de
news:20050726204827.3bf7c25b@ganymede...
Bonsoir,
J'aurais plutôt posté ça dans fr.comp.reseaux.ip perso, mais c'est qu'une
affaire de goûts.
Bon, il y quelques inconnues, mais je suppose que vous voulez faire jouer
le rôle de routeur à votre firewall.
Côté règles iptables, j'ai tout mis à ACCEPT (pour le moment).
dans ce cas, ça ne devrait pas bloquer au niveau d'iptables...
Est-ce un problème de routage ?
Ca m'a tout l'air, avez vous activé l'ip_forward sur le firewall ?
si oui, vous devriez avoir ça :
root@ganymede:~# cat /proc/sys/net/ipv4/ip_forward
1
Est-ce que les machines de chaque réseau on leur route vers l'autre réseau
avec comme passerelle le firewall ?
(ou leur route par défaut sur le firewall tout court)
L'autre cas très improbable auxquel je pense est que les deux réseaux
physiquement distinct
(pas sur le même brin ethernet) sont sur le même sous-réseaux.
Dans ce cas, c'est plutôt du côté du proxy ARP qu'il faudrait chercher
pour le firewall, mais je ne pourrais pas
vous en dire plus à ce propos, il y a surement des très bon HOWTO sur le
net.
Grand merci pour ta réponse. C'était effectivement ip_forward qui n'était pas à 1. Je me doutais bien que c'était peut-être le forwarding qui n'était pas activé, mais je ne savais pas comment le faire.
Encore merci pour ta réponse et ton aide, je suis débloqué, je vais pouvoir poursuivre.
Xavier
"Mathieu Geli" a écrit dans le message de news:
Bonsoir,
J'aurais plutôt posté ça dans fr.comp.reseaux.ip perso, mais c'est qu'une affaire de goûts.
Bon, il y quelques inconnues, mais je suppose que vous voulez faire jouer le rôle de routeur à votre firewall.
Côté règles iptables, j'ai tout mis à ACCEPT (pour le moment).
dans ce cas, ça ne devrait pas bloquer au niveau d'iptables...
Est-ce un problème de routage ?
Ca m'a tout l'air, avez vous activé l'ip_forward sur le firewall ? si oui, vous devriez avoir ça : :~# cat /proc/sys/net/ipv4/ip_forward 1
Est-ce que les machines de chaque réseau on leur route vers l'autre réseau avec comme passerelle le firewall ?
(ou leur route par défaut sur le firewall tout court)
L'autre cas très improbable auxquel je pense est que les deux réseaux physiquement distinct
(pas sur le même brin ethernet) sont sur le même sous-réseaux. Dans ce cas, c'est plutôt du côté du proxy ARP qu'il faudrait chercher pour le firewall, mais je ne pourrais pas
vous en dire plus à ce propos, il y a surement des très bon HOWTO sur le net.
