Depuis ce jour j'ai l'ADSL .
Avant j'étais en RTC par modem classique et mon serveur conneté au web
distribuait sur d'autre machines
connecté en réseau local la connexion internet grace à l'IPMASQUERADE
Hors avec l'ADSL l'IPMASQUERADE ne fonctionne plus.
J'ai bien essayé de modifier la config de iptables, j'ai lu la doc et
fait qq essais mais ca coince
voici les lignes de mon fichier "iptables" avec le modem RTC. Que dois
je changer
en sachant que je suis connecté sur le net par ethernet par "eth1" ?
iptables -P FORWARD DROP
iptables -p FORWARD ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.10 -o ppp0 -j MASQUERADE
j'ai essayé de remplacer ppp0 par eth1 ou eth0 mais sans résultat
merci par avance
salutations
--
Christian Vivet
olicla@tiscali.fr
http://claoli.free.fr/html/index.html
Bizarre, cette ligne. eth0 semble être dans le sous-réseau 192.168.1.0/25 (pas courant comme masque), cela ne correspond pas à l'adresse 192.168.10.10 de ta règle MASQUERADE (ou 192.168.10.0/24 de TiChou).
127.0.0.0 0.0.0.0 255.0.0.0 U lo 0.0.0.0 212.194.180.1 0.0.0.0 UG ppp0
C'est un oubli de ta part ou il manque eth0 ? Pourtant d'après la table de routage eth0 est UP. Si ce n'est pas un oubli, "ifconfig eth0" pour voir.
Donne aussi la config IP (adresse, masque, passerelle, DNS) des autres machines du réseau local, et la sortie d'un traceroute depuis une de ces machines vers une adresse IP d'internet. J'ai l'impression que le paramètre -s de la règle iptables de masquerading ne correspond pas à l'adressage réel du LAN.
Bizarre, cette ligne. eth0 semble être dans le sous-réseau
192.168.1.0/25 (pas courant comme masque), cela ne correspond pas à
l'adresse 192.168.10.10 de ta règle MASQUERADE (ou 192.168.10.0/24 de
TiChou).
127.0.0.0 0.0.0.0 255.0.0.0 U lo
0.0.0.0 212.194.180.1 0.0.0.0 UG ppp0
C'est un oubli de ta part ou il manque eth0 ? Pourtant d'après la table
de routage eth0 est UP. Si ce n'est pas un oubli, "ifconfig eth0" pour voir.
Donne aussi la config IP (adresse, masque, passerelle, DNS) des autres
machines du réseau local, et la sortie d'un traceroute depuis une de ces
machines vers une adresse IP d'internet. J'ai l'impression que le
paramètre -s de la règle iptables de masquerading ne correspond pas à
l'adressage réel du LAN.
Bizarre, cette ligne. eth0 semble être dans le sous-réseau 192.168.1.0/25 (pas courant comme masque), cela ne correspond pas à l'adresse 192.168.10.10 de ta règle MASQUERADE (ou 192.168.10.0/24 de TiChou).
127.0.0.0 0.0.0.0 255.0.0.0 U lo 0.0.0.0 212.194.180.1 0.0.0.0 UG ppp0
C'est un oubli de ta part ou il manque eth0 ? Pourtant d'après la table de routage eth0 est UP. Si ce n'est pas un oubli, "ifconfig eth0" pour voir.
Donne aussi la config IP (adresse, masque, passerelle, DNS) des autres machines du réseau local, et la sortie d'un traceroute depuis une de ces machines vers une adresse IP d'internet. J'ai l'impression que le paramètre -s de la règle iptables de masquerading ne correspond pas à l'adressage réel du LAN.
Pascal
Voici un script iptables simplifié (donc moyennement sécurisé)
iptables -t filter -P INPUT ACCEPT
Ah ouais, effectivement. Même pas peur :)
PS: pas de commentaire sur mon petit script plus haut ?
Voici un script iptables simplifié (donc moyennement sécurisé)
iptables -t filter -P INPUT ACCEPT
Ah ouais, effectivement. Même pas peur :)
PS: pas de commentaire sur mon petit script plus haut ?
Voici un script iptables simplifié (donc moyennement sécurisé)
iptables -t filter -P INPUT ACCEPT
Ah ouais, effectivement. Même pas peur :)
PS: pas de commentaire sur mon petit script plus haut ?
TiChou
Dans le message <news:cpt3gg$16pe$, ** tapota sur f.c.o.l.configuration :
Voici un script iptables simplifié (donc moyennement sécurisé)
iptables -t filter -P INPUT ACCEPT
Ah ouais, effectivement. Même pas peur :)
À mon avis c'était préférable dans un premier temps vu le profil de l'utilisateur et de la description du problème et, vu comment les choses évoluent (ou plutôt comment elles n'évoluent pas par manque de rigueur dans les réponses... d'ailleurs, merci de prendre quelque part la relève), j'ai tendance à croire que j'avais bien fait.
PS: pas de commentaire sur mon petit script plus haut ?
Oui, désolé de ne t'avoir pas répondu surtout que tu attendais certainement une réponse de ma part vu que je t'avais fortement incité à poster tes règles et proposé de te les commenter. En fait, les deux ou trois remarques que j'aurais pu faire sur ton script, ont été faites par ceux qui t'ont répondu, je me suis donc abstenu de les faire. Sinon, globalement rien à dire ou à redire sur ton script qui me parait très efficace et pas loin d'être parfait, d'où mon mutisme. :)
-- TiChou
Dans le message <news:cpt3gg$16pe$1@biggoron.nerim.net>,
*Pascal@plouf* tapota sur f.c.o.l.configuration :
Voici un script iptables simplifié (donc moyennement sécurisé)
iptables -t filter -P INPUT ACCEPT
Ah ouais, effectivement. Même pas peur :)
À mon avis c'était préférable dans un premier temps vu le profil de
l'utilisateur et de la description du problème et, vu comment les choses
évoluent (ou plutôt comment elles n'évoluent pas par manque de rigueur dans
les réponses... d'ailleurs, merci de prendre quelque part la relève), j'ai
tendance à croire que j'avais bien fait.
PS: pas de commentaire sur mon petit script plus haut ?
Oui, désolé de ne t'avoir pas répondu surtout que tu attendais certainement
une réponse de ma part vu que je t'avais fortement incité à poster tes
règles et proposé de te les commenter.
En fait, les deux ou trois remarques que j'aurais pu faire sur ton script,
ont été faites par ceux qui t'ont répondu, je me suis donc abstenu de les
faire. Sinon, globalement rien à dire ou à redire sur ton script qui me
parait très efficace et pas loin d'être parfait, d'où mon mutisme. :)
Dans le message <news:cpt3gg$16pe$, ** tapota sur f.c.o.l.configuration :
Voici un script iptables simplifié (donc moyennement sécurisé)
iptables -t filter -P INPUT ACCEPT
Ah ouais, effectivement. Même pas peur :)
À mon avis c'était préférable dans un premier temps vu le profil de l'utilisateur et de la description du problème et, vu comment les choses évoluent (ou plutôt comment elles n'évoluent pas par manque de rigueur dans les réponses... d'ailleurs, merci de prendre quelque part la relève), j'ai tendance à croire que j'avais bien fait.
PS: pas de commentaire sur mon petit script plus haut ?
Oui, désolé de ne t'avoir pas répondu surtout que tu attendais certainement une réponse de ma part vu que je t'avais fortement incité à poster tes règles et proposé de te les commenter. En fait, les deux ou trois remarques que j'aurais pu faire sur ton script, ont été faites par ceux qui t'ont répondu, je me suis donc abstenu de les faire. Sinon, globalement rien à dire ou à redire sur ton script qui me parait très efficace et pas loin d'être parfait, d'où mon mutisme. :)
-- TiChou
Pascal
Ah ouais, effectivement. Même pas peur :)
À mon avis c'était préférable dans un premier temps vu le profil de l'utilisateur et de la description du problème et, vu comment les choses évoluent
Tu as peut-être raison, mais ça me fait un peu penser à la "philosophie Windows" : tant pis pour la sécurité pourvu que ça fonctionne.
ou plutôt comment elles n'évoluent pas par manque de rigueur dans les réponses...
Il faudrait peut-être lui faire lire le doc smart-questions-truc que tu as l'air d'affectionner ;-)
d'ailleurs, merci de prendre quelque part la relève), j'ai tendance à croire que j'avais bien fait.
Pas de problème, je suis en plein dedans en ce moment.
PS: pas de commentaire sur mon petit script plus haut ?
En fait, les deux ou trois remarques que j'aurais pu faire sur ton script, ont été faites par ceux qui t'ont répondu, je me suis donc abstenu de les faire.
Ah, mais justement les deux remarques que j'ai reçues ne m'ont pas paru spécialement justifiées. Je veux dire que dans l'absolu leurs recommandations sont bonnes, mais il me semble que mon script en tenait déjà compte. J'en retiens que la lisibilité n'est pas fameuse, ce qui n'est pas bon, mais je ne sais pas comment l'améliorer. Comme j'utilise des chaînes, je suis bien obligé de les créer avant les règles qui les utilisent, et du coup le script est écrit "à l'envers", comme un programme en C avec main() à la fin.
Sinon, globalement rien à dire ou à redire sur ton script qui me parait très efficace et pas loin d'être parfait, d'où mon mutisme. :)
Bien, merci. Quand personne ne dit rien, on ne sait pas si c'est parce que ça n'intéresse personne, si c'est bien et qu'il n'y a rien à dire ou si c'est tellement mauvais que personne n'a le courage d'énumérer toutes les critiques. Donc je peux le reprendre comme base pour mon routeur avec plus d'interfaces, plus de routes, plus d'adresses, plus de NAT, plus de chaînes, plus de scripts et plus de... mal au crâne ;-) Ça va être illisible...
Ah ouais, effectivement. Même pas peur :)
À mon avis c'était préférable dans un premier temps vu le profil de
l'utilisateur et de la description du problème et, vu comment les choses
évoluent
Tu as peut-être raison, mais ça me fait un peu penser à la "philosophie
Windows" : tant pis pour la sécurité pourvu que ça fonctionne.
ou plutôt comment elles n'évoluent pas par manque de rigueur
dans les réponses...
Il faudrait peut-être lui faire lire le doc smart-questions-truc que tu
as l'air d'affectionner ;-)
d'ailleurs, merci de prendre quelque part la
relève), j'ai tendance à croire que j'avais bien fait.
Pas de problème, je suis en plein dedans en ce moment.
PS: pas de commentaire sur mon petit script plus haut ?
En fait, les deux ou trois remarques que j'aurais pu faire sur ton
script, ont été faites par ceux qui t'ont répondu, je me suis donc
abstenu de les faire.
Ah, mais justement les deux remarques que j'ai reçues ne m'ont pas paru
spécialement justifiées. Je veux dire que dans l'absolu leurs
recommandations sont bonnes, mais il me semble que mon script en tenait
déjà compte. J'en retiens que la lisibilité n'est pas fameuse, ce qui
n'est pas bon, mais je ne sais pas comment l'améliorer. Comme j'utilise
des chaînes, je suis bien obligé de les créer avant les règles qui les
utilisent, et du coup le script est écrit "à l'envers", comme un
programme en C avec main() à la fin.
Sinon, globalement rien à dire ou à redire sur ton
script qui me parait très efficace et pas loin d'être parfait, d'où mon
mutisme. :)
Bien, merci. Quand personne ne dit rien, on ne sait pas si c'est parce
que ça n'intéresse personne, si c'est bien et qu'il n'y a rien à dire ou
si c'est tellement mauvais que personne n'a le courage d'énumérer toutes
les critiques.
Donc je peux le reprendre comme base pour mon routeur avec plus
d'interfaces, plus de routes, plus d'adresses, plus de NAT, plus de
chaînes, plus de scripts et plus de... mal au crâne ;-)
Ça va être illisible...
À mon avis c'était préférable dans un premier temps vu le profil de l'utilisateur et de la description du problème et, vu comment les choses évoluent
Tu as peut-être raison, mais ça me fait un peu penser à la "philosophie Windows" : tant pis pour la sécurité pourvu que ça fonctionne.
ou plutôt comment elles n'évoluent pas par manque de rigueur dans les réponses...
Il faudrait peut-être lui faire lire le doc smart-questions-truc que tu as l'air d'affectionner ;-)
d'ailleurs, merci de prendre quelque part la relève), j'ai tendance à croire que j'avais bien fait.
Pas de problème, je suis en plein dedans en ce moment.
PS: pas de commentaire sur mon petit script plus haut ?
En fait, les deux ou trois remarques que j'aurais pu faire sur ton script, ont été faites par ceux qui t'ont répondu, je me suis donc abstenu de les faire.
Ah, mais justement les deux remarques que j'ai reçues ne m'ont pas paru spécialement justifiées. Je veux dire que dans l'absolu leurs recommandations sont bonnes, mais il me semble que mon script en tenait déjà compte. J'en retiens que la lisibilité n'est pas fameuse, ce qui n'est pas bon, mais je ne sais pas comment l'améliorer. Comme j'utilise des chaînes, je suis bien obligé de les créer avant les règles qui les utilisent, et du coup le script est écrit "à l'envers", comme un programme en C avec main() à la fin.
Sinon, globalement rien à dire ou à redire sur ton script qui me parait très efficace et pas loin d'être parfait, d'où mon mutisme. :)
Bien, merci. Quand personne ne dit rien, on ne sait pas si c'est parce que ça n'intéresse personne, si c'est bien et qu'il n'y a rien à dire ou si c'est tellement mauvais que personne n'a le courage d'énumérer toutes les critiques. Donc je peux le reprendre comme base pour mon routeur avec plus d'interfaces, plus de routes, plus d'adresses, plus de NAT, plus de chaînes, plus de scripts et plus de... mal au crâne ;-) Ça va être illisible...
claoli
Bonjour,
J'ai trouvé le problème, en fait rien à voir avec iptables mais simplement le fichier /etc/resolv.conf des pc du LAN qui n'avaient pas les DNS du FAI
merci à tous pour les infos qui m'ont permis d'améliorer mon pare feu
Salutions,
Bonjour,
J'ai trouvé le problème, en fait rien à voir avec iptables mais
simplement le fichier
/etc/resolv.conf des pc du LAN qui n'avaient pas les DNS du FAI
merci à tous pour les infos qui m'ont permis d'améliorer mon pare feu
J'ai trouvé le problème, en fait rien à voir avec iptables mais simplement le fichier /etc/resolv.conf des pc du LAN qui n'avaient pas les DNS du FAI
merci à tous pour les infos qui m'ont permis d'améliorer mon pare feu
Salutions,
Pascal
J'ai trouvé le problème, en fait rien à voir avec iptables mais simplement le fichier /etc/resolv.conf des pc du LAN qui n'avaient pas les DNS du FAI
Tout d'abord, tant mieux que tu aies finalement résolu ton problème. Toutefois je ne peux m'empêcher d'être un peu en rogne en lisant cela car ça aurait pu aller beaucoup plus vite. Dans sa première réponse, TiChou avait demandé (je cite) :
"Quels sont exactement les symptômes ? Les machines sur le réseau local sont correctement configurés (DNS, ...)"
Tu n'as pas répondu. As-tu vérifié ? Si oui, tu aurais trouvé plus vite et tout le monde aurait gagné du temps.
Ensuite, à l'autre question :
"Que donne, depuis les machines sur le LAN, un traceroute ou ping vers une adresse IP externe (par exemple 213.36.119.29) et sur un nom d'hôte externe (par exemple www.tiscali.fr) ?"
Tu as répondu :
"le ping depuis un machine du LAN ne répond pas , CRTL+C pour avoir le prompt"
Si seuls les DNS étaient en cause, le premier ping sur une adresse IP aurait dû passer, et le second sur un nom de domaine aurait dû finir par répondre quelque chose comme "hôte inconnu", indiquant clairement l'origine du problème.
J'ai trouvé le problème, en fait rien à voir avec iptables mais
simplement le fichier
/etc/resolv.conf des pc du LAN qui n'avaient pas les DNS du FAI
Tout d'abord, tant mieux que tu aies finalement résolu ton problème.
Toutefois je ne peux m'empêcher d'être un peu en rogne en lisant cela
car ça aurait pu aller beaucoup plus vite. Dans sa première réponse,
TiChou avait demandé (je cite) :
"Quels sont exactement les symptômes ? Les machines sur le réseau local
sont correctement configurés (DNS, ...)"
Tu n'as pas répondu. As-tu vérifié ? Si oui, tu aurais trouvé plus vite
et tout le monde aurait gagné du temps.
Ensuite, à l'autre question :
"Que donne, depuis les machines sur le LAN, un traceroute ou ping vers
une adresse IP externe (par exemple 213.36.119.29) et sur un nom d'hôte
externe (par exemple www.tiscali.fr) ?"
Tu as répondu :
"le ping depuis un machine du LAN ne répond pas , CRTL+C pour avoir le
prompt"
Si seuls les DNS étaient en cause, le premier ping sur une adresse IP
aurait dû passer, et le second sur un nom de domaine aurait dû finir par
répondre quelque chose comme "hôte inconnu", indiquant clairement
l'origine du problème.
J'ai trouvé le problème, en fait rien à voir avec iptables mais simplement le fichier /etc/resolv.conf des pc du LAN qui n'avaient pas les DNS du FAI
Tout d'abord, tant mieux que tu aies finalement résolu ton problème. Toutefois je ne peux m'empêcher d'être un peu en rogne en lisant cela car ça aurait pu aller beaucoup plus vite. Dans sa première réponse, TiChou avait demandé (je cite) :
"Quels sont exactement les symptômes ? Les machines sur le réseau local sont correctement configurés (DNS, ...)"
Tu n'as pas répondu. As-tu vérifié ? Si oui, tu aurais trouvé plus vite et tout le monde aurait gagné du temps.
Ensuite, à l'autre question :
"Que donne, depuis les machines sur le LAN, un traceroute ou ping vers une adresse IP externe (par exemple 213.36.119.29) et sur un nom d'hôte externe (par exemple www.tiscali.fr) ?"
Tu as répondu :
"le ping depuis un machine du LAN ne répond pas , CRTL+C pour avoir le prompt"
Si seuls les DNS étaient en cause, le premier ping sur une adresse IP aurait dû passer, et le second sur un nom de domaine aurait dû finir par répondre quelque chose comme "hôte inconnu", indiquant clairement l'origine du problème.
claoli
a écrit:
J'ai trouvé le problème, en fait rien à voir avec iptables mais simplement le fichier /etc/resolv.conf des pc du LAN qui n'avaient pas les DNS du FAI
Tout d'abord, tant mieux que tu aies finalement résolu ton problème. Toutefois je ne peux m'empêcher d'être un peu en rogne en lisant cela car ça aurait pu aller beaucoup plus vite. Dans sa première réponse, TiChou avait demandé (je cite) :
"Quels sont exactement les symptômes ? Les machines sur le réseau local sont correctement configurés (DNS, ...)"
Tu n'as pas répondu. As-tu vérifié ? Si oui, tu aurais trouvé plus vite et tout le monde aurait gagné du temps.
Ensuite, à l'autre question :
"Que donne, depuis les machines sur le LAN, un traceroute ou ping vers une adresse IP externe (par exemple 213.36.119.29) et sur un nom d'hôte externe (par exemple www.tiscali.fr) ?"
Tu as répondu :
"le ping depuis un machine du LAN ne répond pas , CRTL+C pour avoir le prompt"
Si seuls les DNS étaient en cause, le premier ping sur une adresse IP aurait dû passer, et le second sur un nom de domaine aurait dû finir par répondre quelque chose comme "hôte inconnu", indiquant clairement l'origine du problème.
Désolé pour la perte de temps, mais j'étais concentré sur iptables et j'ai zappé les DNS. c'est en relisant vos réponses que j'ai compris que les DNS pouvaient être en cause et notamment le fait que le ping depuis un pc du LAN ne donne aucun retour ainsi que le traceroute. Mille excuses et merci encore
Pascal@plouf a écrit:
J'ai trouvé le problème, en fait rien à voir avec iptables mais
simplement le fichier
/etc/resolv.conf des pc du LAN qui n'avaient pas les DNS du FAI
Tout d'abord, tant mieux que tu aies finalement résolu ton problème.
Toutefois je ne peux m'empêcher d'être un peu en rogne en lisant cela
car ça aurait pu aller beaucoup plus vite. Dans sa première réponse,
TiChou avait demandé (je cite) :
"Quels sont exactement les symptômes ? Les machines sur le réseau
local sont correctement configurés (DNS, ...)"
Tu n'as pas répondu. As-tu vérifié ? Si oui, tu aurais trouvé plus
vite et tout le monde aurait gagné du temps.
Ensuite, à l'autre question :
"Que donne, depuis les machines sur le LAN, un traceroute ou ping vers
une adresse IP externe (par exemple 213.36.119.29) et sur un nom
d'hôte externe (par exemple www.tiscali.fr) ?"
Tu as répondu :
"le ping depuis un machine du LAN ne répond pas , CRTL+C pour avoir le
prompt"
Si seuls les DNS étaient en cause, le premier ping sur une adresse IP
aurait dû passer, et le second sur un nom de domaine aurait dû finir
par répondre quelque chose comme "hôte inconnu", indiquant clairement
l'origine du problème.
Désolé pour la perte de temps, mais j'étais concentré sur iptables et
j'ai zappé les DNS. c'est en relisant vos réponses que
j'ai compris que les DNS pouvaient être en cause et notamment le fait
que le ping depuis un pc du LAN ne donne aucun retour
ainsi que le traceroute.
Mille excuses et merci encore
J'ai trouvé le problème, en fait rien à voir avec iptables mais simplement le fichier /etc/resolv.conf des pc du LAN qui n'avaient pas les DNS du FAI
Tout d'abord, tant mieux que tu aies finalement résolu ton problème. Toutefois je ne peux m'empêcher d'être un peu en rogne en lisant cela car ça aurait pu aller beaucoup plus vite. Dans sa première réponse, TiChou avait demandé (je cite) :
"Quels sont exactement les symptômes ? Les machines sur le réseau local sont correctement configurés (DNS, ...)"
Tu n'as pas répondu. As-tu vérifié ? Si oui, tu aurais trouvé plus vite et tout le monde aurait gagné du temps.
Ensuite, à l'autre question :
"Que donne, depuis les machines sur le LAN, un traceroute ou ping vers une adresse IP externe (par exemple 213.36.119.29) et sur un nom d'hôte externe (par exemple www.tiscali.fr) ?"
Tu as répondu :
"le ping depuis un machine du LAN ne répond pas , CRTL+C pour avoir le prompt"
Si seuls les DNS étaient en cause, le premier ping sur une adresse IP aurait dû passer, et le second sur un nom de domaine aurait dû finir par répondre quelque chose comme "hôte inconnu", indiquant clairement l'origine du problème.
Désolé pour la perte de temps, mais j'étais concentré sur iptables et j'ai zappé les DNS. c'est en relisant vos réponses que j'ai compris que les DNS pouvaient être en cause et notamment le fait que le ping depuis un pc du LAN ne donne aucun retour ainsi que le traceroute. Mille excuses et merci encore
