Partage de connexion

Salut,

Tonio F a écrit :

Je voudrais savoir s'il est possible de faire un partage de connexion sur
une debian qui se trouve déjà dans un réseau domestique.

Oui, c'est possible.

Plus précisément j'ai un modem-routeur avec une adresse publique et une
privée (10.0.0.2), derrière j'ai deux pc (10.0.0.5/XP et 10.0.0.8/Debian).
Sur celui dont l'Ip est 10.0.0.8 j'ai deux cartes ethernet (eth0 et eth1).
Eth0 est connectée à mon routeur et eth1 à une autre debian en utilisant
comme ip respectivement 192.168.0.1 pour eth1 et 192.168.0.12 sur la
deuxième debian.
J'ai suivi plusieurs tutoriaux (configuration des iptables, de
/etc/network/interfaces/, de /etc/sysctl.conf) , sans grand résultat.

Mais encore ? (détail de la configuration IP et des règles iptables des
deux machines Debian, tests effectués, résultats...)

J'arrive à pinger mes debians entre elles.
Je me demande donc si il est possible d'activer un partage de connexion sur
eth0 même sil il n'est elle même que relié à un routeur.

Les actions nécessaires sont en gros les suivantes :

1) Sur le "client" 192.168.0.12, s'il est configuration IP statique,
définir comme passerelle par défaut 192.168.0.1.
- immédiatement (volatil) :
$ route add default gw 192.168.0.1
- au démarrage :
via l'option "gateway 192.168.0.1" dans /etc/network/interfaces

Si le client est en DHCP, c'est dans la configuration du serveur DHCP
qu'il faut spécifier l'adresse de passerelle (option routers).

2) Sur la machine servant de passerelle, activer le routage IP (forwarding).
- immédiatement (volatil) :
$ echo 1 >/proc/sys/net/ipv4/ip_forward
*OU*
$ sysctl -w net/ipv4/ip_forward=1
- au démarrage :
via "ip_forward=1" dans /etc/network/options (voué à devenir obsolète)
*OU*
via "net/ipv4/ip_forward=1" dans /etc/sysctl.conf

3) Si nécessaire autoriser dans les règles iptables de la passerelle le
trafic de et vers le client dans la chaîne FORWARD.

4) Sur la passerelle, "masquer" au moyen d'une règle iptables SNAT
l'adresse source des paquets émis par le client vers le routeur.
- immédiatement :
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/<masque>
-j SNAT --to-source 10.0.0.8
- au démarrage : dans un script perso ou via un gestionnaire de firewall
*OU*
Créer sur le routeur une route vers 192.168.0.0/<masque> avec comme
passerelle 10.0.0.8.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_9499_31281954.1141743672825
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Merci à vous deux pour ces réponses expresses.

Sur ma passerelle voici mon /etc/networl/interfaces :

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).


# The loopback network interface

auto lo

iface lo inet loopback


up echo "1" > /proc/sys/net/ipv4/ip_forward


# The primary network interface

auto eth0

iface eth0 inet static

address 10.0.0.8

netmask 255.0.0.0

gateway 10.0.0.2

#DNS options are implemented by the resolvconf package, if installed

dns-nameservers 10.0.0.2



# The secondary network interface

auto eth1

iface eth1 inet static

address 192.168.0.1

netmask 255.255.255.0

broadcast 192.168.0.255


mon /etc/resolv.conf :

nameserver 10.0.0.2


mes iptables :

#!/bin/sh

# /etc/network/if-pre-up.d/iptables-start

# Script qui démarre les règles de filtrage "iptables"

# Formation Debian GNU/Linux par Alexis de Lattre

# http://www.via.ecp.fr/~alexis/formation-linux/


# REMISE à ZERO des règles de filtrage

iptables -F

iptables -t nat -F



# DEBUT des "politiques par défaut"


# Je veux que les connexions entrantes soient bloquées par défaut

iptables -P INPUT DROP


# Je veux que les connexions destinées à être forwardées

# soient acceptées par défaut

iptables -P FORWARD ACCEPT


# Je veux que les connexions sortantes soient acceptées par défaut

iptables -P OUTPUT ACCEPT


# FIN des "politiques par défaut"



# DEBUT des règles de filtrage


# Pas de filtrage sur l'interface de "loopback"

iptables -A INPUT -i lo -j ACCEPT


# J'accepte le protocole ICMP (i.e. le "ping")

iptables -A INPUT -p icmp -j ACCEPT


# J'accepte le protocole IGMP (pour le multicast)

iptables -A INPUT -p igmp -j ACCEPT


# J'accepte les packets entrants relatifs à des connexions déjà ét ablies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Décommentez les deux lignes suivantes pour que le serveur FTP éventu el

# soit joignable de l'extérieur

#iptables -A INPUT -p tcp --dport 20 -j ACCEPT

#iptables -A INPUT -p tcp --dport 21 -j ACCEPT


# Décommentez la ligne suivante pour que le serveur SSH éventuel

# soit joignable de l'extérieur

#iptables -A INPUT -p tcp --dport 22 -j ACCEPT


# Décommentez la ligne suivante pour que le serveur de mail éventuel

# soit joignable de l'extérieur

#iptables -A INPUT -p tcp --dport 25 -j ACCEPT


# Décommentez les deux lignes suivantes pour que le serveur de DNS éve ntuel

# soit joignable de l'extérieur

#iptables -A INPUT -p tcp --dport 53 -j ACCEPT

#iptables -A INPUT -p udp --dport 53 -j ACCEPT


# Décommentez la ligne suivante pour que le serveur Web éventuel

# soit joignable de l'extérieur

#iptables -A INPUT -p tcp --dport 80 -j ACCEPT


# Décommentez la ligne suivante pour que le serveur CUPS éventuel

# soit joignable de l'extérieur

#iptables -A INPUT -p tcp --dport 631 -j ACCEPT


# Décommentez les deux lignes suivantes pour que le serveur Samba éven tuel

# soit joignable de l'extérieur

#iptables -A INPUT -p tcp --dport 139 -j ACCEPT

#iptables -A INPUT -p udp --dport 139 -j ACCEPT


# Décommentez la ligne suivante pour que des clients puissent se connect er

# à l'ordinateur par XDMCP)

#iptables -A INPUT -p udp --dport 177 -j ACCEPT


# Décommentez la ligne suivante pour que l'odinateur puisse se connecter

# par XDMCP à une machine distante)

#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT


# Décommentez la ligne suivante pour que le serveur CVS éventuel

# soit joignable de l'extérieur via le mécanisme de "pserver"

# (si les utilisateurs accèdent au serveur CVS exclusivement via SSH,

# seule la ligne concernant le serveur SSH doit être décommentée)

#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT


# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLA N

# (ce sont des flux UDP entrants sur le port 1234)

#iptables -A INPUT -p udp --dport 1234 -j ACCEPT


# Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP

# (ce sont des annonces de session multicast)

#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT


# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting

#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT

#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT

#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT


# La règle par défaut pour la chaine INPUT devient "REJECT"

# (il n'est pas possible de mettre REJECT comme politique par défaut)

iptables -A INPUT -j REJECT


# FIN des règles de filtrage



# DEBUT des règles pour le partage de connexion (i.e. le NAT)


# Décommentez la ligne suivante pour que le système fasse office de

# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée

# à Internet

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -j SNAT
--to-source 10.0.0.8


# Si la connexion que vous partagez est une connexion ADSL, vous

# serez probablement confronté au fameux problème du MTU. En résumé ,

# le problème vient du fait que le MTU de la liaison entre votre

# fournisseur d'accès et le serveur NAT est un petit peu inférieur au

# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui

# sont derrière le NAT. Pour résoudre ce problème, décommentez la l igne

# suivante et remplaçez "eth0" par le nom de l'interface connectée à

# Internet.

#iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu


# FIN des règles pour le partage de connexion (i.e. le NAT)



# DEBUT des règles de "port forwarding"


# Décommentez la ligne suivante pour que les requêtes TCP reçues sur

# le port 80 de l'interface eth0 soient forwardées à la machine dont

# l'IP est 192.168.0.3 sur son port 80 (la réponse à la requête sera

# forwardée au client)

#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.0.3:80

# FIN des règles de "port forwarding"


Sur le client j'ai :

/etc/network/interfaces


auto lo

iface lo inet loopback


# The primary network interface

auto eth0

iface eth0 inet static

address 192.168.0.12

netmask 255.255.255.0

gateway 192.168.0.1

mon /etc/resolv.conf :

nameserver 192.168.0.1


et mes iptables sont sur le même modèles que celles de ma passerelle a vec
rien de particulier concernant l'ip 192.168.0.1


Ce qui est étonnant c'est qu'aMule fonctionne mais en Low Id (donc c'est
juste un problème de port forwarding) je suis connecté à Skype, j'arr ive à
recevoir des messages à en envoyer (à priori), mais impossible de me
connecter à aMsn...

Voilà, si vous avez une suggestion, elle sera la bienvenue.

Antoine

------=_Part_9499_31281954.1141743672825
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline




<meta http-equiv="CONTENT-TYPE" content="text/html; charset=utf-8" ><title></title><meta name="GENERATOR" content="OpenOffice.org 1.1.3 ( Linux)"><meta name="CREATED" content="20060307;15423800"><meta name=" CHANGED" content="16010101;0">





<style>
&lt;!--
@page { size: 21cm 29.7cm; margin: 2cm }
P { margin-bottom: 0.21cm }
--&gt;
</style>

<p style="margin-bottom: 0cm;">Merci à vous deux pour ces
réponses expresses.</p>
<p style="margin-bottom: 0cm;">Sur ma passerelle voici mon
/etc/networl/interfaces :</p>
<p style="margin-bottom: 0cm;"># This file describes the network
interfaces available on your system</p>
<p style="margin-bottom: 0cm;"># and how to activate them. For more
information, see interfaces(5).</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># The loopback network interface</p>
<p style="margin-bottom: 0cm;">auto lo</p>
<p style="margin-bottom: 0cm;">iface lo inet loopback</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;">up echo &quot;1&quot; &gt;
/proc/sys/net/ipv4/ip_forward</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># The primary network interface</p>
<p style="margin-bottom: 0cm;">auto eth0</p>
<p style="margin-bottom: 0cm;">iface eth0 inet static</p>
<p style="margin-bottom: 0cm;"> address <a href="http://10.0.0.8 ">10.0.0.8</a></p>
<p style="margin-bottom: 0cm;"> netmask <a href="http://255.0.0. 0">255.0.0.0</a></p>
<p style="margin-bottom: 0cm;"> gateway <a href="http://10.0.0.2 ">10.0.0.2</a></p>
<p style="margin-bottom: 0cm;"> #DNS options are implemented by
the resolvconf package, if installed</p>
<p style="margin-bottom: 0cm;"> dns-nameservers <a href="http:// 10.0.0.2">10.0.0.2</a></p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># The secondary network interface</p>
<p style="margin-bottom: 0cm;">auto eth1</p>
<p style="margin-bottom: 0cm;">iface eth1 inet static</p>
<p style="margin-bottom: 0cm;"> address <a href="http://192.168. 0.1">192.168.0.1</a></p>
<p style="margin-bottom: 0cm;"> netmask <a href="http://255.255. 255.0">255.255.255.0</a></p>
<p style="margin-bottom: 0cm;"> broadcast <a href="http://192.16 8.0.255">192.168.0.255</a></p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;">mon /etc/resolv.conf :</p>
<p style="margin-bottom: 0cm;">nameserver <a href="http://10.0.0.2">10. 0.0.2</a></p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;">mes iptables :
</p>
<p style="margin-bottom: 0cm;">#!/bin/sh</p>
<p style="margin-bottom: 0cm;">#
/etc/network/if-pre-up.d/iptables-start</p>
<p style="margin-bottom: 0cm;"># Script qui démarre les règles
de filtrage &quot;iptables&quot;</p>
<p style="margin-bottom: 0cm;"># Formation Debian GNU/Linux par Alexis
de Lattre</p>
<p style="margin-bottom: 0cm;">#
<a href="http://www.via.ecp.fr/~alexis/formation-linux/">http://www.via.e cp.fr/~alexis/formation-linux/</a></p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># REMISE à ZERO des règles
de filtrage</p>
<p style="margin-bottom: 0cm;">iptables -F</p>
<p style="margin-bottom: 0cm;">iptables -t nat -F</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># DEBUT des &quot;politiques par
défaut&quot;</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Je veux que les connexions entrantes
soient bloquées par défaut</p>
<p style="margin-bottom: 0cm;">iptables -P INPUT DROP</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Je veux que les connexions destinées
à être forwardées</p>
<p style="margin-bottom: 0cm;"># soient acceptées par défaut</p>
<p style="margin-bottom: 0cm;">iptables -P FORWARD ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Je veux que les connexions sortantes
soient acceptées par défaut</p>
<p style="margin-bottom: 0cm;">iptables -P OUTPUT ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># FIN des &quot;politiques par défaut&qu ot;</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># DEBUT des règles de filtrage</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Pas de filtrage sur l'interface de
&quot;loopback&quot;</p>
<p style="margin-bottom: 0cm;">iptables -A INPUT -i lo -j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># J'accepte le protocole ICMP (i.e. le
&quot;ping&quot;)</p>
<p style="margin-bottom: 0cm;">iptables -A INPUT -p icmp -j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># J'accepte le protocole IGMP (pour le
multicast)</p>
<p style="margin-bottom: 0cm;">iptables -A INPUT -p igmp -j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># J'accepte les packets entrants
relatifs à des connexions déjà établies</p>
<p style="margin-bottom: 0cm;">iptables -A INPUT -m state --state
RELATED,ESTABLISHED -j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez les deux lignes
suivantes pour que le serveur FTP éventuel</p>
<p style="margin-bottom: 0cm;"># soit joignable de l'extérieur</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 20 -j
ACCEPT</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 21 -j
ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour que le serveur SSH éventuel</p>
<p style="margin-bottom: 0cm;"># soit joignable de l'extérieur</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 22 -j
ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour que le serveur de mail éventuel</p>
<p style="margin-bottom: 0cm;"># soit joignable de l'extérieur</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 25 -j
ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez les deux lignes
suivantes pour que le serveur de DNS éventuel</p>
<p style="margin-bottom: 0cm;"># soit joignable de l'extérieur</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 53 -j
ACCEPT</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p udp --dport 53 -j
ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour que le serveur Web éventuel</p>
<p style="margin-bottom: 0cm;"># soit joignable de l'extérieur</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 80 -j
ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour que le serveur CUPS éventuel</p>
<p style="margin-bottom: 0cm;"># soit joignable de l'extérieur</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 631
-j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez les deux lignes
suivantes pour que le serveur Samba éventuel</p>
<p style="margin-bottom: 0cm;"># soit joignable de l'extérieur</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 139
-j ACCEPT</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p udp --dport 139
-j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour que des clients puissent se connecter</p>
<p style="margin-bottom: 0cm;"># à l'ordinateur par XDMCP)</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p udp --dport 177
-j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour que l'odinateur puisse se connecter</p>
<p style="margin-bottom: 0cm;"># par XDMCP à une machine
distante)</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 6001
-j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour que le serveur CVS éventuel</p>
<p style="margin-bottom: 0cm;"># soit joignable de l'extérieur
via le mécanisme de &quot;pserver&quot;</p>
<p style="margin-bottom: 0cm;"># (si les utilisateurs accèdent
au serveur CVS exclusivement via SSH,</p>
<p style="margin-bottom: 0cm;"># seule la ligne concernant le serveur
SSH doit être décommentée)</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 2401
-j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour pouvoir reçevoir des flux VideoLAN</p>
<p style="margin-bottom: 0cm;"># (ce sont des flux UDP entrants sur le
port 1234)</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p udp --dport 1234
-j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour pouvoir reçevoir des annonces SAP</p>
<p style="margin-bottom: 0cm;"># (ce sont des annonces de session
multicast)</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p udp -d
<a href="http://224.2.127.254">224.2.127.254</a> --dport 9875 -j ACCEPT</ p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez les 3 lignes
suivantes pour pouvoir utiliser GnomeMeeting</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport
30000:33000 -j ACCEPT</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p tcp --dport 1720
-j ACCEPT</p>
<p style="margin-bottom: 0cm;">#iptables -A INPUT -p udp --dport
5000:5006 -j ACCEPT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># La règle par défaut
pour la chaine INPUT devient &quot;REJECT&quot;</p>
<p style="margin-bottom: 0cm;"># (il n'est pas possible de mettre
REJECT comme politique par défaut)</p>
<p style="margin-bottom: 0cm;">iptables -A INPUT -j REJECT</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># FIN des règles de filtrage</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># DEBUT des règles pour le
partage de connexion (i.e. le NAT)</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour que le système fasse office de</p>
<p style="margin-bottom: 0cm;"># &quot;serveur NAT&quot; et remplaçez
&quot;eth0&quot; par le nom de l'interface connectée</p>
<p style="margin-bottom: 0cm;"># à Internet</p>
<p style="margin-bottom: 0cm;">iptables -t nat -A POSTROUTING -o eth0
-s <a href="http://192.168.0.0/255.255.255.0">192.168.0.0/255.255.255.0</ a> -j SNAT --to-source <a href="http://10.0.0.8">10.0.0.8</a></p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Si la connexion que vous partagez est
une connexion ADSL, vous</p>
<p style="margin-bottom: 0cm;"># serez probablement confronté
au fameux problème du MTU. En résumé,</p>
<p style="margin-bottom: 0cm;"># le problème vient du fait que
le MTU de la liaison entre votre</p>
<p style="margin-bottom: 0cm;"># fournisseur d'accès et le
serveur NAT est un petit peu inférieur au</p>
<p style="margin-bottom: 0cm;"># MTU de la liaison Ethernet qui relie
le serveur NAT aux machines qui</p>
<p style="margin-bottom: 0cm;"># sont derrière le NAT. Pour
résoudre ce problème, décommentez la ligne</p>
<p style="margin-bottom: 0cm;"># suivante et remplaçez &quot;eth0&quot;
par le nom de l'interface connectée à</p>
<p style="margin-bottom: 0cm;"># Internet.</p>
<p style="margin-bottom: 0cm;">#iptables -A FORWARD -p tcp --tcp-flags
SYN,RST SYN -j TCPMSS -o eth0 --clamp-mss-to-pmtu</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># FIN des règles pour le partage
de connexion (i.e. le NAT)</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># DEBUT des règles de &quot;port
forwarding&quot;</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># Décommentez la ligne suivante
pour que les requêtes TCP reçues sur</p>
<p style="margin-bottom: 0cm;"># le port 80 de l'interface eth0 soient
forwardées à la machine dont</p>
<p style="margin-bottom: 0cm;"># l'IP est <a href="http://192.168.0.3"> 192.168.0.3</a> sur son port 80
(la réponse à la requête sera</p>
<p style="margin-bottom: 0cm;"># forwardée au client)</p>
<p style="margin-bottom: 0cm;">#iptables -t nat -A PREROUTING -i eth0
-p tcp --dport 80 -j DNAT --to-destination <a href="http://192.168.0.3:80 ">192.168.0.3:80</a></p>
<p style="margin-bottom: 0cm;"># FIN des règles de &quot;port
forwarding&quot;</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;">Sur le client j'ai :</p>
<p style="margin-bottom: 0cm;">/etc/network/interfaces</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;">auto lo</p>
<p style="margin-bottom: 0cm;">iface lo inet loopback</p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;"># The primary network interface</p>
<p style="margin-bottom: 0cm;">auto eth0</p>
<p style="margin-bottom: 0cm;">iface eth0 inet static</p>
<p style="margin-bottom: 0cm;"> address <a href="http://192.168. 0.12">192.168.0.12</a></p>
<p style="margin-bottom: 0cm;"> netmask <a href="http://255.255. 255.0">255.255.255.0</a></p>
<p style="margin-bottom: 0cm;"> gateway <a href="http://192.168. 0.1">192.168.0.1</a></p>
<p style="margin-bottom: 0cm;">
</p>
<p style="margin-bottom: 0cm;">mon /etc/resolv.conf :</p>
<p style="margin-bottom: 0cm;">nameserver <a href="http://192.168.0.1"> 192.168.0.1</a></p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;">et mes iptables sont sur le même
modèles que celles de ma passerelle avec rien de particulier
concernant l'ip <a href="http://192.168.0.1">192.168.0.1</a></p>
<p style="margin-bottom: 0cm;"><br>
</p>
<p style="margin-bottom: 0cm;">Ce qui est étonnant c'est
qu'aMule fonctionne mais en Low Id (donc c'est juste un problème
de port forwarding) je suis connecté à Skype, j'arrive
à recevoir des messages à en envoyer (à priori),
mais impossible de me connecter à aMsn...</p>
<p style="margin-bottom: 0cm;">Voilà, si vous avez une
suggestion, elle sera la bienvenue.</p>
<p style="margin-bottom: 0cm;">Antoine
</p>
<p style="margin-bottom: 0cm;"><br>
</p>

------=_Part_9499_31281954.1141743672825--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Tonio F a écrit :

Merci à vous deux pour ces réponses expresses.

"Vous deux" ? Je ne vois que ma réponse.

Sur ma passerelle voici mon /etc/networl/interfaces :

[...]

auto lo
iface lo inet loopback
up echo "1" > /proc/sys/net/ipv4/ip_forward

En principe ce n'est pas le meilleur endroit pour ça, le forwarding IP
n'a rien à voir avec l'activation de l'interface de loopback.
[RAS pour le reste]

mes iptables :

#!/bin/sh

# /etc/network/if-pre-up.d/iptables-start

Là aussi, je me demande si c'est le meilleur endroit, si comme je le
suppose ce script est exécuté à chaque fois qu'une interface réseau est
activée via ifup.

[...]

iptables -P FORWARD ACCEPT

Et aucune règle dans la chaîne FORWARD dans ce qui suit, donc pas de
blocage à ce niveau.

[...]

# Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
# soit joignable de l'extérieur

#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

Je garde ceci pour plus tard, voir plus bas.

[...]

# La règle par défaut pour la chaine INPUT devient "REJECT"

iptables -A INPUT -j REJECT

Certes REJECT est plus respectueux des RFC que DROP en général, mais pas
toujours. Ainsi les paquets vus dans l'état INVALID par le suivi de
connexion doivent être bloqués silencieusement et non rejetés avec un
message d'erreur. De même d'autres types de paquets inattendus ne
doivent pas donner lieu à l'envoi d'un message d'erreur (TCP reset,
messages d'erreur ICMP...) mais ceux-ci sont déjà correctement pris en
compte par REJECT.
Ceci dit, tout cela relève du perfectionnisme et ne gêne pas la
connectivité.

[...]

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -j SNAT
--to-source 10.0.0.8

Ça a l'air correct. On peut aussi écrire 192.168.0.0/24 en notation
CIDR, où 24 représente la taille du masque, le nombre de bits à 1.

[...]

Sur le client j'ai :

/etc/network/interfaces

[RAS]

[...]

mon /etc/resolv.conf :

nameserver 192.168.0.1

Je pressens un problème ici. Pour fonctionner cette ligne suppose que la
passerelle fait tourner un serveur DNS (Bind...) ou un relais DNS
(dnsmasq...), *et* que celui-ci est accessible depuis le client. Or la
"politique" INPUT par défaut est REJECT et les ports 53 TCP et UDP ne
sont pas ouverts côté eth1 (voir plus haut). Le plus simple est sûrement
d'utiliser le relais DNS du routeur 10.0.0.2, comme la passerelle.

[...]

Ce qui est étonnant c'est qu'aMule fonctionne mais en Low Id (donc c'est
juste un problème de port forwarding) je suis connecté à Skype, j'arrive à
recevoir des messages à en envoyer (à priori), mais impossible de me
connecter à aMsn...

Peut-être à cause du problème de résolution DNS soulevé plus haut.
Et concernant le web, ping, traceroute, par nom et par adresse IP ?


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

------=_Part_2961_1222751.1141755487118
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Merci beaucoup pour ta réponse.
C'est effectivement la solution. Ca marche impeccable. Super.
J'ai pas réellement tout assimilé mais je commence à entrevoir plus
clairement le bazar.
Encore merci.
Antoine

------=_Part_2961_1222751.1141755487118
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Merci beaucoup pour ta réponse.<br>

C'est effectivement la solution. Ca marche impeccable. Super.<br>

J'ai pas réellement tout assimilé mais je commence à entrevoir plus c lairement le bazar.<br>

Encore merci.<br>

Antoine<br><br>

------=_Part_2961_1222751.1141755487118--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Tonio F a écrit :

J'ai pas réellement tout assimilé mais je commence à entrevoir plus
clairement le bazar.

Le partage de connexion proprement dit (routage IP + NAT), c'est-à-dire
la connectivité IP, était opérationnel puisque certaines applications
fonctionnaient. Mais l'adresse de serveur DNS configurée sur le client
étant incorrecte, celui-ci ne pouvait faire la résolution des noms de
domaines en adresses IP.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org