Passerelle

Le
Zuthos
--Nq2Wo0NMKNjxTN9z
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable


J'ai un petit soucis avec ma passerelle.
Voici ma configuration:

-- --
|Client|-|Serveur|-|Modem Adslethernet|
--

Sur le serveur:

Voici les rgles:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4552 -j DNAT
--to-destination 192.168.0.2:4552
iptables -t filter -A FORWARD -i ppp0 -o wlan0 -d 192.168.0.2 -p tcp
--dport 4552 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4572 -j DNAT
--to-destination 192.168.0.2:4572
iptables -t filter -A FORWARD -i ppp0 -o wlan0 -d 192.168.0.2 -p udp
--dport 4572 -j ACCEPT

iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE

Sur le client:
# route
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 wlan0
default 192.168.0.1 0.0.0.0 UG 0 0 0 wlan0

pourtant:
sur le client:
# ping www.google.fr
PING www.l.google.com (66.102.9.99): 56 data bytes

www.l.google.com ping statistics
7 packets transmitted, 0 packets received, 100% packet loss

Hors, tous fonctionn encore il y a quelque jour. Je ne me souvient pas
avoir trafiqu quoi que ce soit. Peut tre une mise a jour??

Voila, si quelqu'un a une ide???

merci d'avance

--
"Combattre pour la paix, c'est comme niquer pour la chastet."
Slogan non violent.


--Nq2Wo0NMKNjxTN9z
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

--BEGIN PGP SIGNATURE--
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFDiz8OnvhxumJ2Q8wRAugRAJ4xBGCUEj9i4NSOsdJAQi7qEctrBwCfcqn7
TtmKG5LtskYR9Y5ZVkYuzuc=
=MN/0
--END PGP SIGNATURE--

--Nq2Wo0NMKNjxTN9z--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
  • Partager ce contenu :
Vos réponses
Trier par : date / pertinence
Pascal
Le #8580641
Salut,

Zuthos a écrit :

Voici les règles:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 4552 -j DNAT
--to-destination 192.168.0.2:4552
iptables -t filter -A FORWARD -i ppp0 -o wlan0 -d 192.168.0.2 -p tcp
--dport 4552 -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4572 -j DNAT
--to-destination 192.168.0.2:4572
iptables -t filter -A FORWARD -i ppp0 -o wlan0 -d 192.168.0.2 -p udp
--dport 4572 -j ACCEPT

iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE



C'est tout ? Rien dans FORWARD de wlan0 vers ppp0 ?
Et les politiques par défaut ?
ip_forward=1 ?
Envoie la sortie de la commande "iptables-save", ce sera plus simple.

[...]
# ping www.google.fr
PING www.l.google.com (66.102.9.99): 56 data bytes

7 packets transmitted, 0 packets received, 100% packet loss



Si la politique par défaut de FORWARD est à DROP et les seules règles
celles mentionnées ci-dessus, c'est normal.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Zuthos
Le #8580171
--GvXjxJ+pjyke8COw
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

a écrit :

| C'est tout ? Rien dans FORWARD de wlan0 vers ppp0 ?
| Et les politiques par défaut ?
| ip_forward=1 ?


En fait, je reconnais ne pas bien tous comprendre

| Envoie la sortie de la commande "iptables-save", ce sera plus simple.

# iptables-save
# Generated by iptables-save v1.3.3 on Tue Nov 29 13:46:06 2005
*nat
:PREROUTING ACCEPT [136:10333]
:POSTROUTING ACCEPT [55:5986]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 4552 -j DNAT
--to-destination 192.168.0.2:4552
-A PREROUTING -i ppp0 -p udp -m udp --dport 4572 -j DNAT
--to-destination 192.168.0.2:4572
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Nov 29 13:46:06 2005
# Generated by iptables-save v1.3.3 on Tue Nov 29 13:46:06 2005
*filter
:INPUT ACCEPT [25577:9746347]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14916:3998727]
-A FORWARD -d 192.168.0.2 -i ppp0 -o wlan0 -p tcp -m tcp --dport 4552 -j
ACCEPT
-A FORWARD -d 192.168.0.2 -i ppp0 -o wlan0 -p udp -m udp --dport 4572 -j
ACCEPT
COMMIT
# Completed on Tue Nov 29 13:46:06 2005

|
| Si la politique par défaut de FORWARD est à DROP et les seules règl es
| celles mentionnées ci-dessus, c'est normal.
je crois comprendre que c'est sur accept? Non??

--
"Les paresseux, comme les aveugles, ou les sourds,
sont des infirmes qui ont droit à la vie, et ils vivront,
ou plutôt végéteront sans nuire à personne"
Louise Michel


--GvXjxJ+pjyke8COw
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFDjFA2nvhxumJ2Q8wRAsZxAKC5S+XNdt/iiJaUdY/zc7dZSPKPjgCg2hsb
XG9EMIv7BGWtq6aYVPxCRX4 =eL0x
-----END PGP SIGNATURE-----

--GvXjxJ+pjyke8COw--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal
Le #8579491
Zuthos a écrit :
a écrit :

| C'est tout ? Rien dans FORWARD de wlan0 vers ppp0 ?
| Et les politiques par défaut ?
| ip_forward=1 ?

En fait, je reconnais ne pas bien tous comprendre



ip_forward=1, c'est une option dans le fichier /etc/network/options qui
active le routage (forwarding) IP au démarrage, et qui se traduit par le
paramètre /proc/sys/net/ipv4/ip_forward qui contient la valeur "1". A
noter que /etc/network/options deviendrait obsolète en testing.

# iptables-save
# Generated by iptables-save v1.3.3 on Tue Nov 29 13:46:06 2005
*nat
:PREROUTING ACCEPT [136:10333]
:POSTROUTING ACCEPT [55:5986]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 4552 -j DNAT
--to-destination 192.168.0.2:4552
-A PREROUTING -i ppp0 -p udp -m udp --dport 4572 -j DNAT
--to-destination 192.168.0.2:4572
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Nov 29 13:46:06 2005
# Generated by iptables-save v1.3.3 on Tue Nov 29 13:46:06 2005
*filter
:INPUT ACCEPT [25577:9746347]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [14916:3998727]
-A FORWARD -d 192.168.0.2 -i ppp0 -o wlan0 -p tcp -m tcp --dport 4552 -j
ACCEPT
-A FORWARD -d 192.168.0.2 -i ppp0 -o wlan0 -p udp -m udp --dport 4572 -j
ACCEPT
COMMIT
# Completed on Tue Nov 29 13:46:06 2005

Si la politique par défaut de FORWARD est à DROP et les seules règles
celles mentionnées ci-dessus, c'est normal.



je crois comprendre que c'est sur accept? Non??



Effectivement. Du coup les deux règles de la table filter ne servent à
rien puisque tout est accepté de toute façon.
Au vu de ces règles qui ne bloquent rien, je ne vois pas pourquoi le
ping sur www.google.fr ne marche pas. Ce site répond au ping, et la
résolution DNS se fait (la passerelle sert de relais ou de cache DNS je
suppose). Le compteur de la chaîne FORWARD reste à 0, ce qui semble
indiquer qu'aucun paquet ne l'a traversée grâce à la politique par défaut.

Que donne un traceroute vers le même site (ou un autre) ?


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Antoine Patte
Le #8579311
a écrit :
ip_forward=1, c'est une option dans le fichier /etc/network/options qui
active le routage (forwarding) IP au démarrage, et qui se traduit par le
paramètre /proc/sys/net/ipv4/ip_forward qui contient la valeur "1". A
noter que /etc/network/options deviendrait obsolète en testing.



tout a fait, ca se fait maintenant dans /etc/sysctl.conf.
extrait du readme de netbase :

* /etc/network/options

This file is deprecated, and if present should be replaced by values
in /etc/sysctl.conf or equivalent custom scripts.
The relevant sysctl values are:

ip_forward=yes: net.ipv4.ip_forward = 1
spoofprotect=yes: net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
syncookies=yes: net.ipv4.tcp_syncookies = 1

--
yoda


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
The fyxx
Le #8579281
------=_Part_4335_1568552.1133337824063
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

si le probleme ne vient pas d'iptables, il faudrait verifier effectivement
si la passerelle contient bien ip_forward=1 (personnellement, je le place
dans mon script iptables) et la configuration de sa carte rezo.
La carte rezo du client derriere la passerelle a bien une ip dans le meme
rezo? la passerelle est bien specifiée? le dns est correct?

Concernant la passerelle, serait-il possible d'avoir le resultat de la
commande iptables -L -n -v (je la comprend mieu)?

2005/11/30, Antoine Patte

a écrit :
> ip_forward=1, c'est une option dans le fichier /etc/network/options q ui
> active le routage (forwarding) IP au démarrage, et qui se traduit par le
> paramètre /proc/sys/net/ipv4/ip_forward qui contient la valeur "1". A
> noter que /etc/network/options deviendrait obsolète en testing.

tout a fait, ca se fait maintenant dans /etc/sysctl.conf.
extrait du readme de netbase :

* /etc/network/options

This file is deprecated, and if present should be replaced by values
in /etc/sysctl.conf or equivalent custom scripts.
The relevant sysctl values are:

ip_forward=yes: net.ipv4.ip_forward = 1
spoofprotect=yes: net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
syncookies=yes: net.ipv4.tcp_syncookies = 1

--
yoda


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact






------=_Part_4335_1568552.1133337824063
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

si le probleme ne vient pas d'iptables, il faudrait verifier effectivement si la passerelle contient bien ip_forward=1 (personnellement, je le place dans mon script iptables) et la configuration de sa carte rezo.<br>La cart e rezo du client derriere la passerelle a bien une ip dans le meme rezo? la passerelle est bien specifiée? le dns est correct?
= 1 </a><br><br></blockquote></div><br>

------=_Part_4335_1568552.1133337824063--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Zuthos
Le #8576561
--WIyZ46R2i8wDzkSu
Content-Type: text/plain; charset=iso-8859-1
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

The fyxx a écrit :
The relevant sysctl values are:
|
| ip_forward=yes: net.ipv4.ip_forward = 1
| spoofprotect=yes: net.ipv4.conf.default.rp_filter = 1
| net.ipv4.conf.all.rp_filter = 1
| syncookies=yes: net.ipv4.tcp_syncookies = 1
|
Le pb était bien net.ipv4.ip_forward = 1.
Lors du passage a /etc/sysctl.conf je me suis trompé.
merci a tous

--
"Je me suis souvent posé la question: comment les masses peuvent-elles
permettre leur exploitation par une minorité?
la réponse est:parce qu'elles s'identifient à elle" Emma Goldman

--WIyZ46R2i8wDzkSu
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFDkD4DLuKvIr6sKjcRAjqdAJ99wisxYL46Hi4suL2f4aLdC3o3iACg7pxo
haOcCNZG6PxNSaRsZa0jfk8 =fY8T
-----END PGP SIGNATURE-----

--WIyZ46R2i8wDzkSu--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Poster une réponse
Anonyme