RE: Problème de routage

2 réponses

Stéphane BERDIN

03/02/2006 à 14:00

>Tu veux dire que tu ne peux pas modifier la configuration IP/routage =
des postes en 192.168.5.0/24 ? Il faut alors diffuser les routes par un =
protocole de >routage (RIP ou autre), =E0 condition que les postes le =
g=E8rent (on y croit). Sinon l'alias IP sur l'interface LAN de la =
passerelle est la seule solution que je vois.

C'est pas que je ne peux pas, mais je pr=E9f=E8re laisse la config tel =
quel et modifier la passerelle.
Donc effectivement une ip alias est le plus appropri=E9

>Pourtant tu as =E9crit :
> Donc aujourdh'ui le r=E9seau 192.168.5.0 peux communiquer avec le =
r=E9seau
> 192.168.8.0/24
> Et actuellement seul B peux aller sur internet !

Oui oui aujourdh'ui ils peuvent faire =E7a sans probl=E8me parce que le =
routeur actuel =E0 une ip en 192.168.8.27 et une ip alias 192.168.5.102
Autant pour moi.
Le but est bien de supprimer ce routeur et donc de cr=E9e une r=E8gle =
permettant de routeur le r=E9seau 192.168.5.0 vers 192.168.8.8 et
Que cette passerelle accepte les paquets et les fasses sortir

>Note : du point de vue du routage et du filtrage les alias de la forme =
eth0:x n'existent pas, c'est eth0 qui compte. Un alias ne cr=E9e par une =
nouvelle interface, il ne fait qu'ajouter une adresse =E0 une interface =
existante dont il partage les param=E8tres (flags, MTU, etc.).

=C7a veux dire que je n'ai pas besoin de modifier netfilter ?

>Si tu veux qu'on trouve ce qui manque, tu peux publier les sorties de :
>- ifconfig et route -n sur une machine de A, une de B et la passerelle
>- iptables-save sur la passerelle

Sur les machine A : 192.168.5.0/24 et passerelle 192.168.5.102
Sur les machine B : 192.168.8.0/24 et passerelle 192.168.8.8

Route -n me donne :

Destination Passerelle Genmask Iface
192.168.5.0 * 255.255.255.0 eth0
Localnet * 255.255.255.0 eth0
Default 192.168.8.30 eth0

192.168.8.30 =E9tant le routeur apr=E8s la passerelle qui est reli=E9 =
=E0 internet.
La sortie iptables-save :

# Generated by iptables-save v1.2.11 on Fri Feb 3 13:38:02 2006
*nat
:PREROUTING ACCEPT [2701135:314954246]
:POSTROUTING ACCEPT [1836254:129765162]
:OUTPUT ACCEPT [1777094:126977546]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK =
SYN -j REDIRECT --to-ports 3128=20
COMMIT
# Completed on Fri Feb 3 13:38:02 2006
# Generated by iptables-save v1.2.11 on Fri Feb 3 13:38:02 2006
*filter
:INPUT DROP [0:0]
:FORWARD DROP [32:3360]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT=20
-A INPUT -i eth0 -j ACCEPT=20
-A INPUT -i eth0 -j ACCEPT=20
-A INPUT -i eth0 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN =
-j ACCEPT=20
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT=20
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT=20
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT=20
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 9900 -j ACCEPT=20
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 8500 -j ACCEPT=20
-A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT=20
-A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 3128 -j ACCEPT=20
-A FORWARD -i eth0 -o eth0 -j ULOG=20
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT=20
-A OUTPUT -o lo -j ACCEPT=20
-A OUTPUT -o eth0 -j ACCEPT=20
-A OUTPUT -o eth0 -j ACCEPT=20
-A OUTPUT -o eth0 -j ULOG=20
-A OUTPUT -o lo -j ULOG=20
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN =
-j ACCEPT=20
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT=20
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT=20
COMMIT
# Completed on Fri Feb 3 13:38:02 2006

2 réponses

Pascal Hambourg

03/02/2006 à 16:30

Stéphane BERDIN a écrit :

Note : du point de vue du routage et du filtrage les alias de la forme eth0:x

n'existent pas, c'est eth0 qui compte. Un alias ne crée par une nouvelle interface,
il ne fait qu'ajouter une adresse à une interface existante dont il partage les
paramètres (flags, MTU, etc.).

Ça veux dire que je n'ai pas besoin de modifier netfilter ?

Ça dépend des règles iptables. Si elles ne considèrent que les
interfaces et pas les adresses, ce qui est le cas des tiennes, alors
effectivement elles n'ont pas besoin d'être modifiées.

Note : Netfilter n'est que l'infrastructure générique de traitement des
paquets réseau sur laquelle vient se greffer iptables (et/ou ipchains,
ip6tables...) qui gère les règles de filtrage/nat/mangle IP.

Si tu veux qu'on trouve ce qui manque, tu peux publier les sorties de :
- ifconfig et route -n sur une machine de A, une de B et la passerelle
- iptables-save sur la passerelle

Sur les machine A : 192.168.5.0/24 et passerelle 192.168.5.102
Sur les machine B : 192.168.8.0/24 et passerelle 192.168.8.8

Route -n me donne :

Destination Passerelle Genmask Iface
192.168.5.0 * 255.255.255.0 eth0
Localnet * 255.255.255.0 eth0
Default 192.168.8.30 eth0

Sur quelle machine ? La passerelle ?
Je doute que l'option -n renvoie "Localnet" et "Default". Que représente
"Localnet" ? Si c'est la table de routage de passerelle, je suppose
qu'il s'agit de 192.168.8.0.

192.168.8.30 étant le routeur après la passerelle qui est relié à internet.
La sortie iptables-save :

Original que le routeur soit sur sur le même réseau que le reste.

*nat
:PREROUTING ACCEPT [2701135:314954246]
:POSTROUTING ACCEPT [1836254:129765162]
:OUTPUT ACCEPT [1777094:126977546]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j
REDIRECT --to-ports 3128

L'option --tcp-flags n'est pas très utile dans une règle NAT. Seul le
premier paquet d'une connexion traverse les chaînes de la table nat, et
si ce n'est pas un paquet SYN il devrait de toute façon être rejeté par
une règle de filtrage ou la pile TCP/IP du destinataire.

*filter
:INPUT DROP [0:0]
:FORWARD DROP [32:3360]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT

Doublon.

-A INPUT -i eth0 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j ACCEPT

Inutile, la règle précédente accepte déjà tout en entrée sur eth0.

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en entrée sur ces deux interfaces.

-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 9900 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 8500 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 3128 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j ULOG
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Note : cette règle est placée de préférence dans en tête de liste car
pour la grande majorité des paquets, qui sont dans l'état ESTABLISHED,
cela évite de dérouler les autres règles.

Il n'y a pas de règle autorisant l'ICMP echo-request, normal que le ping
ne passe pas entre A et B. Il ne doit pas non plus passer depuis A ou B
vers l'extérieur.

iptables -A FORWARD -i eth0 -o eth0 -p icmp --icmp-type echo-request
-j ACCEPT

Par contre les protocoles explicitement autorisés devraient passer.

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT

Doublon.

-A OUTPUT -o eth0 -j ULOG
-A OUTPUT -o lo -j ULOG
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

Toutes ces règles sont sans effet, des règles précédentes acceptent déjà
tout en sortie sur les interfaces lo et eth0.

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en sortie sur ces deux interfaces.

D'après ces règles, l'accès au web à travers le proxy transparent
devrait fonctionner pour 192.168.5.0/24, à condition que squid soit
configuré pour accepter les requêtes provenant de ces adresses.
Par contre, les autres protocoles autorisés ne fonctionneront que si
le routeur 192.168.8.30 a une route vers 192.168.5.0/24. Ou bien en
ajoutant une règle iptables SNAT pour masquer l'adresse source :

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.5.0/24
-d 192.168.8.30 -j SNAT --to-source 192.168.8.8

Par contre les communications entre A et B sur les ports autorisés
devraient fonctionner.

Pour finir, attention aux éventuels ICMP redirect qui pourraient être
émis par la passerelle à l'émetteur d'un paquet quand les interfaces
d'entrée et de sortie sont identiques. Cet ICMP, s'il est accepté, a
pour conséquence de créer dans la table de routage de l'émetteur une
route directe vers la destination du paquet avec le routeur comme
passerelle, court-circuitant la passerelle pour cette destination.

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Stéphane BERDIN a écrit :

Note : du point de vue du routage et du filtrage les alias de la forme eth0:x

n'existent pas, c'est eth0 qui compte. Un alias ne crée par une nouvelle interface,
il ne fait qu'ajouter une adresse à une interface existante dont il partage les
paramètres (flags, MTU, etc.).

Ça veux dire que je n'ai pas besoin de modifier netfilter ?

Si tu veux qu'on trouve ce qui manque, tu peux publier les sorties de :
- ifconfig et route -n sur une machine de A, une de B et la passerelle
- iptables-save sur la passerelle

Sur les machine A : 192.168.5.0/24 et passerelle 192.168.5.102
Sur les machine B : 192.168.8.0/24 et passerelle 192.168.8.8

Route -n me donne :

Destination Passerelle Genmask Iface
192.168.5.0 * 255.255.255.0 eth0
Localnet * 255.255.255.0 eth0
Default 192.168.8.30 eth0

192.168.8.30 étant le routeur après la passerelle qui est relié à internet.
La sortie iptables-save :

Original que le routeur soit sur sur le même réseau que le reste.

*nat
:PREROUTING ACCEPT [2701135:314954246]
:POSTROUTING ACCEPT [1836254:129765162]
:OUTPUT ACCEPT [1777094:126977546]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j
REDIRECT --to-ports 3128

*filter
:INPUT DROP [0:0]
:FORWARD DROP [32:3360]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT

Doublon.

-A INPUT -i eth0 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j ACCEPT

Inutile, la règle précédente accepte déjà tout en entrée sur eth0.

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en entrée sur ces deux interfaces.

-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 9900 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 8500 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 3128 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j ULOG
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT

Doublon.

-A OUTPUT -o eth0 -j ULOG
-A OUTPUT -o lo -j ULOG
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

Toutes ces règles sont sans effet, des règles précédentes acceptent déjà
tout en sortie sur les interfaces lo et eth0.

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Vous avez filtré cet utilisateur ! Consultez son message

Stéphane BERDIN a écrit :

Note : du point de vue du routage et du filtrage les alias de la forme eth0:x

n'existent pas, c'est eth0 qui compte. Un alias ne crée par une nouvelle interface,
il ne fait qu'ajouter une adresse à une interface existante dont il partage les
paramètres (flags, MTU, etc.).

Ça veux dire que je n'ai pas besoin de modifier netfilter ?

Si tu veux qu'on trouve ce qui manque, tu peux publier les sorties de :
- ifconfig et route -n sur une machine de A, une de B et la passerelle
- iptables-save sur la passerelle

Sur les machine A : 192.168.5.0/24 et passerelle 192.168.5.102
Sur les machine B : 192.168.8.0/24 et passerelle 192.168.8.8

Route -n me donne :

Destination Passerelle Genmask Iface
192.168.5.0 * 255.255.255.0 eth0
Localnet * 255.255.255.0 eth0
Default 192.168.8.30 eth0

192.168.8.30 étant le routeur après la passerelle qui est relié à internet.
La sortie iptables-save :

Original que le routeur soit sur sur le même réseau que le reste.

*nat
:PREROUTING ACCEPT [2701135:314954246]
:POSTROUTING ACCEPT [1836254:129765162]
:OUTPUT ACCEPT [1777094:126977546]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j
REDIRECT --to-ports 3128

*filter
:INPUT DROP [0:0]
:FORWARD DROP [32:3360]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i eth0 -j ACCEPT

Doublon.

-A INPUT -i eth0 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j ACCEPT

Inutile, la règle précédente accepte déjà tout en entrée sur eth0.

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en entrée sur ces deux interfaces.

-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 9900 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 8500 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 3128 -j ACCEPT
-A FORWARD -i eth0 -o eth0 -j ULOG
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT

Doublon.

-A OUTPUT -o eth0 -j ULOG
-A OUTPUT -o lo -j ULOG
-A OUTPUT -o eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

Toutes ces règles sont sans effet, des règles précédentes acceptent déjà
tout en sortie sur les interfaces lo et eth0.

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Patrice OLIVER

03/02/2006 à 17:50

------=_Part_7195_1316664.1138985167131
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

2006/2/3, Pascal Hambourg :

Stéphane BERDIN a écrit :
>
>>Note : du point de vue du routage et du filtrage les alias de la forme
eth0:x
> n'existent pas, c'est eth0 qui compte. Un alias ne crée par une nouve lle
interface,
> il ne fait qu'ajouter une adresse à une interface existante dont il
partage les
> paramètres (flags, MTU, etc.).
>
> Ça veux dire que je n'ai pas besoin de modifier netfilter ?

Ça dépend des règles iptables. Si elles ne considèrent que les
interfaces et pas les adresses, ce qui est le cas des tiennes, alors
effectivement elles n'ont pas besoin d'être modifiées.

Note : Netfilter n'est que l'infrastructure générique de traitement d es
paquets réseau sur laquelle vient se greffer iptables (et/ou ipchains,
ip6tables...) qui gère les règles de filtrage/nat/mangle IP.

>>Si tu veux qu'on trouve ce qui manque, tu peux publier les sorties de :
>>- ifconfig et route -n sur une machine de A, une de B et la passerelle
>>- iptables-save sur la passerelle
>
> Sur les machine A : 192.168.5.0/24 et passerelle 192.168.5.102
> Sur les machine B : 192.168.8.0/24 et passerelle 192.168.8.8
>
> Route -n me donne :
>
> Destination Passerelle Genmask Iface
> 192.168.5.0 * 255.255.255.0 eth0
> Localnet * 255.255.255.0 eth0
> Default 192.168.8.30 eth0

Sur quelle machine ? La passerelle ?
Je doute que l'option -n renvoie "Localnet" et "Default". Que représent e
"Localnet" ? Si c'est la table de routage de passerelle, je suppose
qu'il s'agit de 192.168.8.0.

> 192.168.8.30 étant le routeur après la passerelle qui est relié à
internet.
> La sortie iptables-save :

Original que le routeur soit sur sur le même réseau que le reste.

> *nat
> :PREROUTING ACCEPT [2701135:314954246]
> :POSTROUTING ACCEPT [1836254:129765162]
> :OUTPUT ACCEPT [1777094:126977546]
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK
SYN -j
> REDIRECT --to-ports 3128

L'option --tcp-flags n'est pas très utile dans une règle NAT. Seul le
premier paquet d'une connexion traverse les chaînes de la table nat, et
si ce n'est pas un paquet SYN il devrait de toute façon être rejeté par
une règle de filtrage ou la pile TCP/IP du destinataire.

> *filter
> :INPUT DROP [0:0]
> :FORWARD DROP [32:3360]
> :OUTPUT DROP [0:0]
> -A INPUT -i lo -j ACCEPT
> -A INPUT -i eth0 -j ACCEPT
> -A INPUT -i eth0 -j ACCEPT

Doublon.

> -A INPUT -i eth0 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN
-j ACCEPT

Inutile, la règle précédente accepte déjà tout en entrée sur eth0.

> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en entrée sur ces deux interfac es.

> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 9900 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 8500 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 3128 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -j ULOG
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Note : cette règle est placée de préférence dans en tête de lis te car
pour la grande majorité des paquets, qui sont dans l'état ESTABLISHED ,
cela évite de dérouler les autres règles.

Il n'y a pas de règle autorisant l'ICMP echo-request, normal que le pin g
ne passe pas entre A et B. Il ne doit pas non plus passer depuis A ou B
vers l'extérieur.

iptables -A FORWARD -i eth0 -o eth0 -p icmp --icmp-type echo-request
-j ACCEPT

Par contre les protocoles explicitement autorisés devraient passer.

> -A OUTPUT -o lo -j ACCEPT
> -A OUTPUT -o eth0 -j ACCEPT
> -A OUTPUT -o eth0 -j ACCEPT

Doublon.

> -A OUTPUT -o eth0 -j ULOG
> -A OUTPUT -o lo -j ULOG
> -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN
-j ACCEPT
> -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

Toutes ces règles sont sans effet, des règles précédentes accepte nt déjà
tout en sortie sur les interfaces lo et eth0.

> -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en sortie sur ces deux interfaces .

D'après ces règles, l'accès au web à travers le proxy transparent
devrait fonctionner pour 192.168.5.0/24, à condition que squid soit
configuré pour accepter les requêtes provenant de ces adresses.
Par contre, les autres protocoles autorisés ne fonctionneront que si
le routeur 192.168.8.30 a une route vers 192.168.5.0/24. Ou bien en
ajoutant une règle iptables SNAT pour masquer l'adresse source :

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.5.0/24
-d 192.168.8.30 -j SNAT --to-source 192.168.8.8

Par contre les communications entre A et B sur les ports autorisés
devraient fonctionner.

Pour finir, attention aux éventuels ICMP redirect qui pourraient être
émis par la passerelle à l'émetteur d'un paquet quand les interface s
d'entrée et de sortie sont identiques. Cet ICMP, s'il est accepté, a
pour conséquence de créer dans la table de routage de l'émetteur un e
route directe vers la destination du paquet avec le routeur comme
passerelle, court-circuitant la passerelle pour cette destination.

Super Pascal pour cette analyse fine.
Le fait que le routeur soit sur le même lan n'est guère rassurant. Le p c qui
joue le rôle de parefeu peut-il accepter une carte réseau supplémenta ire
afin d'y connecter le routeur.
La réponse de Pascal pour le SNAT me semble la plus appropriée. Penser à
contrôler que le noyau est correctement configuré pour cela car j'ai d éjà eu
la blague.

--

Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

------=_Part_7195_1316664.1138985167131
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

 <div>2006/2/3, Pascal Hambourg <<a h ref="mailto:"></a>& gt;:<blockquote class="gmail_quote" style="border-left: 1px soli d rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Stéphane BERDIN a écrit : > >>Note : du point de vue du routage et du filtrage les alias de la forme eth0:x > n'existent pas, c'est eth0 qui compte. Un alias ne crée par une nouvelle interface, & gt; il ne fait qu'ajouter une adresse à une interface existante dont il p artage les
 > paramètres (flags, MTU, etc.). > > Ça veux dire qu e je n'ai pas besoin de modifier netfilter ? Ça dépend des règ les iptables. Si elles ne considèrent que les interfaces et pas les ad resses, ce qui est le cas des tiennes, alors
 effectivement elles n'ont pas besoin d'être modifiées. Note : Netfilter n'est que l'infrastructure générique de traitement des p aquets réseau sur laquelle vient se greffer iptables (et/ou ipchains, ip6tables...) qui gère les règles de filtrage/nat/mangle IP.
 >>Si tu veux qu'on trouve ce qui manque, tu peux publier les sorties de : >>- ifconfig et route -n sur une machine de A, une de B et la passerelle >>- iptables-save sur la passerelle >
 > Sur les machine A : <a href="http://192.168.5.0/24">192.168.5.0/ 24</a> et passerelle <a href="http://192.168.5.102">192.168.5.102</a> > Sur les machine B : <a href="http://192.168.8.0/24">192.168.8.0/24</ a>
et passerelle <a href="http://192.168.8.8">192.168.8.8</a> > &g t; Route -n me donne : > > Destination    & nbsp;    Passerelle      &nbsp ;    Genmask               Iface > <a href="http://192.168 .5.0">192.168.5.0
</a>           &nbsp ; *                 <a href="http://255.255.255.0">255.255.255.0</a>& nbsp;       eth0 > Localnet & nbsp;           &nbs p;  *                 <a href="http://255.255.255.0">255.25 5.255.0</a>        eth0 > Def ault           &nbsp ;
<a href="http://192.168.8.30">192.168.8.30</a>    &nb sp;                         &nb sp;eth0 Sur quelle machine ? La passerelle ? Je doute que l'optio n -n renvoie "Localnet" et "Default". Que représente 
"Localnet" ? Si c'est la table de routage de passerelle, je suppo se qu'il s'agit de <a href="http://192.168.8.0">192.168.8.0</a>. > <a href="http://192.168.8.30">192.168.8.30</a> étant le routeur après la passerelle qui est relié à internet.
 > La sortie iptables-save : Original que le routeur soit sur sur le même réseau que le reste. > *nat > :PREROUTING A CCEPT [2701135:314954246] > :POSTROUTING ACCEPT [1836254:129765162]
> :OUTPUT ACCEPT [1777094:126977546] > -A PREROUTING -i eth0 -p tc p -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j > REDIRECT --to-po rts 3128 L'option --tcp-flags n'est pas très utile dans une règl e NAT. Seul le
 premier paquet d'une connexion traverse les chaînes de la table nat, et si ce n'est pas un paquet SYN il devrait de toute façon être reje té par une règle de filtrage ou la pile TCP/IP du destinataire. > *filter
 > :INPUT DROP [0:0] > :FORWARD DROP [32:3360] > :OUTPUT DROP [0:0] > -A INPUT -i lo -j ACCEPT > -A INPUT -i eth0 -j ACC EPT > -A INPUT -i eth0 -j ACCEPT Doublon. > -A INPUT -i eth0 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
 Inutile, la règle précédente accepte déjà tout en entré e sur eth0. > -A INPUT -m state --state RELATED,ESTABLISHED -j AC CEPT Inutile si lo et eth0 sont les seules interfaces puisque des r ègles 
précédentes acceptent déjà tout en entrée sur ces deux interfaces . > -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEP T > -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT > -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 9900 -j ACCEPT
 > -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 8500 -j ACCEPT > -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT > -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 3128 -j ACCEPT > -A FORWARD -i eth0 -o eth0 -j ULOG
 > -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT N ote : cette règle est placée de préférence dans en tête de liste car pour la grande majorité des paquets, qui sont dans l'état ESTABL ISHED, 
cela évite de dérouler les autres règles. Il n'y a pas de rè gle autorisant l'ICMP echo-request, normal que le ping ne passe pas entr e A et B. Il ne doit pas non plus passer depuis A ou B vers l'extérieu r. 
 iptables -A FORWARD -i eth0 -o eth0 -p icmp --icmp-type echo-request   -j ACCEPT Par contre les protocoles explicitement aut orisés devraient passer. > -A OUTPUT -o lo -j ACCEPT > -A OUTPUT -o eth0 -j ACCEPT
 > -A OUTPUT -o eth0 -j ACCEPT Doublon. > -A OUTPUT -o eth0 -j ULOG > -A OUTPUT -o lo -j ULOG > -A OUTPUT -o eth0 - p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT > -A OU TPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
 Toutes ces règles sont sans effet, des règles précédentes a cceptent déjà tout en sortie sur les interfaces lo et eth0. & gt; -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Inutile si lo et eth0 sont les seules interfaces puisque des règles
 précédentes acceptent déjà tout en sortie sur ces deux interfac es. D'après ces règles, l'accès au web à travers le proxy tr ansparent devrait fonctionner pour <a href="http://192.168.5.0/24">192 .168.5.0/24</a>
, à condition que squid soit configuré pour accepter les requêtes provenant de ces adresses. Par contre, les autres protocoles autorisés ne fonctionneront que si le routeur <a href="http://192.168.8.30">192 .168.8.30
</a> a une route vers <a href="http://192.168.5.0/24">192.168.5.0/24</a>. Ou bien en ajoutant une règle iptables SNAT pour masquer l'adresse so urce : iptables -t nat -A POSTROUTING -o eth0 -s <a href="http://1 92.168.5.0/24">
192.168.5.0/24</a>   -d <a href="http://192.168.8.30">192. 168.8.30</a> -j SNAT --to-source <a href="http://192.168.8.8">192.168.8.8 </a> Par contre les communications entre A et B sur les ports autori sés devraient fonctionner.
 Pour finir, attention aux éventuels ICMP redirect qui pourraient être émis par la passerelle à l'émetteur d'un paquet quand les i nterfaces d'entrée et de sortie sont identiques. Cet ICMP, s'il est ac cepté, a
 pour conséquence de créer dans la table de routage de l'émetteur une route directe vers la destination du paquet avec le routeur comme passerelle, court-circuitant la passerelle pour cette destination.</blockq uote>
<div> Super Pascal pour cette analyse fine. Le fait que le routeur so it sur le même lan n'est guère rassurant. Le pc qui joue le rôle de p arefeu peut-il accepter une carte réseau supplémentaire afin d'y connec ter le routeur.
 La réponse de Pascal pour le SNAT me semble la plus appropriée. Pen ser à contrôler que le noyau est correctement configuré pour cela car j'ai déjà eu la blague. </div> <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0. 8ex; padding-left: 1ex;">
-- Pensez à lire la FAQ de la liste avant de poser une question : < a href="http://wiki.debian.net/?DebianFrench">http://wiki.debian.net/?Deb ianFrench</a> Pensez à rajouter le mot ``spam'' dans vos champs &q uot;From" et "Reply-To:"
 To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-REQUE "></a> wit h a subject of "unsubscribe". Trouble? Contact <a href="mailto: ">
</a> </blockquote></div> 

------=_Part_7195_1316664.1138985167131--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

------=_Part_7195_1316664.1138985167131
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

2006/2/3, Pascal Hambourg <pascal.mail@plouf.fr.eu.org>:

Stéphane BERDIN a écrit :
>
>>Note : du point de vue du routage et du filtrage les alias de la forme
eth0:x
> n'existent pas, c'est eth0 qui compte. Un alias ne crée par une nouve lle
interface,
> il ne fait qu'ajouter une adresse à une interface existante dont il
partage les
> paramètres (flags, MTU, etc.).
>
> Ça veux dire que je n'ai pas besoin de modifier netfilter ?

Ça dépend des règles iptables. Si elles ne considèrent que les
interfaces et pas les adresses, ce qui est le cas des tiennes, alors
effectivement elles n'ont pas besoin d'être modifiées.

Note : Netfilter n'est que l'infrastructure générique de traitement d es
paquets réseau sur laquelle vient se greffer iptables (et/ou ipchains,
ip6tables...) qui gère les règles de filtrage/nat/mangle IP.

>>Si tu veux qu'on trouve ce qui manque, tu peux publier les sorties de :
>>- ifconfig et route -n sur une machine de A, une de B et la passerelle
>>- iptables-save sur la passerelle
>
> Sur les machine A : 192.168.5.0/24 et passerelle 192.168.5.102
> Sur les machine B : 192.168.8.0/24 et passerelle 192.168.8.8
>
> Route -n me donne :
>
> Destination Passerelle Genmask Iface
> 192.168.5.0 * 255.255.255.0 eth0
> Localnet * 255.255.255.0 eth0
> Default 192.168.8.30 eth0

Sur quelle machine ? La passerelle ?
Je doute que l'option -n renvoie "Localnet" et "Default". Que représent e
"Localnet" ? Si c'est la table de routage de passerelle, je suppose
qu'il s'agit de 192.168.8.0.

> 192.168.8.30 étant le routeur après la passerelle qui est relié à
internet.
> La sortie iptables-save :

Original que le routeur soit sur sur le même réseau que le reste.

> *nat
> :PREROUTING ACCEPT [2701135:314954246]
> :POSTROUTING ACCEPT [1836254:129765162]
> :OUTPUT ACCEPT [1777094:126977546]
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK
SYN -j
> REDIRECT --to-ports 3128

L'option --tcp-flags n'est pas très utile dans une règle NAT. Seul le
premier paquet d'une connexion traverse les chaînes de la table nat, et
si ce n'est pas un paquet SYN il devrait de toute façon être rejeté par
une règle de filtrage ou la pile TCP/IP du destinataire.

> *filter
> :INPUT DROP [0:0]
> :FORWARD DROP [32:3360]
> :OUTPUT DROP [0:0]
> -A INPUT -i lo -j ACCEPT
> -A INPUT -i eth0 -j ACCEPT
> -A INPUT -i eth0 -j ACCEPT

Doublon.

> -A INPUT -i eth0 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN
-j ACCEPT

Inutile, la règle précédente accepte déjà tout en entrée sur eth0.

> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en entrée sur ces deux interfac es.

> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 9900 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 8500 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 3128 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -j ULOG
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Note : cette règle est placée de préférence dans en tête de lis te car
pour la grande majorité des paquets, qui sont dans l'état ESTABLISHED ,
cela évite de dérouler les autres règles.

Il n'y a pas de règle autorisant l'ICMP echo-request, normal que le pin g
ne passe pas entre A et B. Il ne doit pas non plus passer depuis A ou B
vers l'extérieur.

iptables -A FORWARD -i eth0 -o eth0 -p icmp --icmp-type echo-request
-j ACCEPT

Par contre les protocoles explicitement autorisés devraient passer.

> -A OUTPUT -o lo -j ACCEPT
> -A OUTPUT -o eth0 -j ACCEPT
> -A OUTPUT -o eth0 -j ACCEPT

Doublon.

> -A OUTPUT -o eth0 -j ULOG
> -A OUTPUT -o lo -j ULOG
> -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN
-j ACCEPT
> -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

Toutes ces règles sont sans effet, des règles précédentes accepte nt déjà
tout en sortie sur les interfaces lo et eth0.

> -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en sortie sur ces deux interfaces .

D'après ces règles, l'accès au web à travers le proxy transparent
devrait fonctionner pour 192.168.5.0/24, à condition que squid soit
configuré pour accepter les requêtes provenant de ces adresses.
Par contre, les autres protocoles autorisés ne fonctionneront que si
le routeur 192.168.8.30 a une route vers 192.168.5.0/24. Ou bien en
ajoutant une règle iptables SNAT pour masquer l'adresse source :

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.5.0/24
-d 192.168.8.30 -j SNAT --to-source 192.168.8.8

Par contre les communications entre A et B sur les ports autorisés
devraient fonctionner.

Pour finir, attention aux éventuels ICMP redirect qui pourraient être
émis par la passerelle à l'émetteur d'un paquet quand les interface s
d'entrée et de sortie sont identiques. Cet ICMP, s'il est accepté, a
pour conséquence de créer dans la table de routage de l'émetteur un e
route directe vers la destination du paquet avec le routeur comme
passerelle, court-circuitant la passerelle pour cette destination.

Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

------=_Part_7195_1316664.1138985167131
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

 <div>2006/2/3, Pascal Hambourg <<a h ref="mailto:pascal.mail@plouf.fr.eu.org">pascal.mail@plouf.fr.eu.org</a>& gt;:<blockquote class="gmail_quote" style="border-left: 1px soli d rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Stéphane BERDIN a écrit : > >>Note : du point de vue du routage et du filtrage les alias de la forme eth0:x > n'existent pas, c'est eth0 qui compte. Un alias ne crée par une nouvelle interface, & gt; il ne fait qu'ajouter une adresse à une interface existante dont il p artage les
 > paramètres (flags, MTU, etc.). > > Ça veux dire qu e je n'ai pas besoin de modifier netfilter ? Ça dépend des règ les iptables. Si elles ne considèrent que les interfaces et pas les ad resses, ce qui est le cas des tiennes, alors
 effectivement elles n'ont pas besoin d'être modifiées. Note : Netfilter n'est que l'infrastructure générique de traitement des p aquets réseau sur laquelle vient se greffer iptables (et/ou ipchains, ip6tables...) qui gère les règles de filtrage/nat/mangle IP.
 >>Si tu veux qu'on trouve ce qui manque, tu peux publier les sorties de : >>- ifconfig et route -n sur une machine de A, une de B et la passerelle >>- iptables-save sur la passerelle >
 > Sur les machine A : <a href="http://192.168.5.0/24">192.168.5.0/ 24</a> et passerelle <a href="http://192.168.5.102">192.168.5.102</a> > Sur les machine B : <a href="http://192.168.8.0/24">192.168.8.0/24</ a>
et passerelle <a href="http://192.168.8.8">192.168.8.8</a> > &g t; Route -n me donne : > > Destination    & nbsp;    Passerelle      &nbsp ;    Genmask               Iface > <a href="http://192.168 .5.0">192.168.5.0
</a>           &nbsp ; *                 <a href="http://255.255.255.0">255.255.255.0</a>& nbsp;       eth0 > Localnet & nbsp;           &nbs p;  *                 <a href="http://255.255.255.0">255.25 5.255.0</a>        eth0 > Def ault           &nbsp ;
<a href="http://192.168.8.30">192.168.8.30</a>    &nb sp;                         &nb sp;eth0 Sur quelle machine ? La passerelle ? Je doute que l'optio n -n renvoie "Localnet" et "Default". Que représente 
"Localnet" ? Si c'est la table de routage de passerelle, je suppo se qu'il s'agit de <a href="http://192.168.8.0">192.168.8.0</a>. > <a href="http://192.168.8.30">192.168.8.30</a> étant le routeur après la passerelle qui est relié à internet.
 > La sortie iptables-save : Original que le routeur soit sur sur le même réseau que le reste. > *nat > :PREROUTING A CCEPT [2701135:314954246] > :POSTROUTING ACCEPT [1836254:129765162]
> :OUTPUT ACCEPT [1777094:126977546] > -A PREROUTING -i eth0 -p tc p -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j > REDIRECT --to-po rts 3128 L'option --tcp-flags n'est pas très utile dans une règl e NAT. Seul le
 premier paquet d'une connexion traverse les chaînes de la table nat, et si ce n'est pas un paquet SYN il devrait de toute façon être reje té par une règle de filtrage ou la pile TCP/IP du destinataire. > *filter
 > :INPUT DROP [0:0] > :FORWARD DROP [32:3360] > :OUTPUT DROP [0:0] > -A INPUT -i lo -j ACCEPT > -A INPUT -i eth0 -j ACC EPT > -A INPUT -i eth0 -j ACCEPT Doublon. > -A INPUT -i eth0 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
 Inutile, la règle précédente accepte déjà tout en entré e sur eth0. > -A INPUT -m state --state RELATED,ESTABLISHED -j AC CEPT Inutile si lo et eth0 sont les seules interfaces puisque des r ègles 
précédentes acceptent déjà tout en entrée sur ces deux interfaces . > -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEP T > -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT > -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 9900 -j ACCEPT
 > -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 8500 -j ACCEPT > -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT > -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 3128 -j ACCEPT > -A FORWARD -i eth0 -o eth0 -j ULOG
 > -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT N ote : cette règle est placée de préférence dans en tête de liste car pour la grande majorité des paquets, qui sont dans l'état ESTABL ISHED, 
cela évite de dérouler les autres règles. Il n'y a pas de rè gle autorisant l'ICMP echo-request, normal que le ping ne passe pas entr e A et B. Il ne doit pas non plus passer depuis A ou B vers l'extérieu r. 
 iptables -A FORWARD -i eth0 -o eth0 -p icmp --icmp-type echo-request   -j ACCEPT Par contre les protocoles explicitement aut orisés devraient passer. > -A OUTPUT -o lo -j ACCEPT > -A OUTPUT -o eth0 -j ACCEPT
 > -A OUTPUT -o eth0 -j ACCEPT Doublon. > -A OUTPUT -o eth0 -j ULOG > -A OUTPUT -o lo -j ULOG > -A OUTPUT -o eth0 - p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT > -A OU TPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT
 Toutes ces règles sont sans effet, des règles précédentes a cceptent déjà tout en sortie sur les interfaces lo et eth0. & gt; -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT Inutile si lo et eth0 sont les seules interfaces puisque des règles
 précédentes acceptent déjà tout en sortie sur ces deux interfac es. D'après ces règles, l'accès au web à travers le proxy tr ansparent devrait fonctionner pour <a href="http://192.168.5.0/24">192 .168.5.0/24</a>
, à condition que squid soit configuré pour accepter les requêtes provenant de ces adresses. Par contre, les autres protocoles autorisés ne fonctionneront que si le routeur <a href="http://192.168.8.30">192 .168.8.30
</a> a une route vers <a href="http://192.168.5.0/24">192.168.5.0/24</a>. Ou bien en ajoutant une règle iptables SNAT pour masquer l'adresse so urce : iptables -t nat -A POSTROUTING -o eth0 -s <a href="http://1 92.168.5.0/24">
192.168.5.0/24</a>   -d <a href="http://192.168.8.30">192. 168.8.30</a> -j SNAT --to-source <a href="http://192.168.8.8">192.168.8.8 </a> Par contre les communications entre A et B sur les ports autori sés devraient fonctionner.
 Pour finir, attention aux éventuels ICMP redirect qui pourraient être émis par la passerelle à l'émetteur d'un paquet quand les i nterfaces d'entrée et de sortie sont identiques. Cet ICMP, s'il est ac cepté, a
 pour conséquence de créer dans la table de routage de l'émetteur une route directe vers la destination du paquet avec le routeur comme passerelle, court-circuitant la passerelle pour cette destination.</blockq uote>
<div> Super Pascal pour cette analyse fine. Le fait que le routeur so it sur le même lan n'est guère rassurant. Le pc qui joue le rôle de p arefeu peut-il accepter une carte réseau supplémentaire afin d'y connec ter le routeur.
 La réponse de Pascal pour le SNAT me semble la plus appropriée. Pen ser à contrôler que le noyau est correctement configuré pour cela car j'ai déjà eu la blague. </div> <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0. 8ex; padding-left: 1ex;">
-- Pensez à lire la FAQ de la liste avant de poser une question : < a href="http://wiki.debian.net/?DebianFrench">http://wiki.debian.net/?Deb ianFrench</a> Pensez à rajouter le mot ``spam'' dans vos champs &q uot;From" et "Reply-To:"
 To UNSUBSCRIBE, email to <a href="mailto:debian-user-french-REQUE ST@lists.debian.org">debian-user-french-REQUEST@lists.debian.org</a> wit h a subject of "unsubscribe". Trouble? Contact <a href="mailto: listmaster@lists.debian.org">
listmaster@lists.debian.org</a> </blockquote></div> 

------=_Part_7195_1316664.1138985167131--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Vous avez filtré cet utilisateur ! Consultez son message

------=_Part_7195_1316664.1138985167131
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

2006/2/3, Pascal Hambourg :

Stéphane BERDIN a écrit :
>
>>Note : du point de vue du routage et du filtrage les alias de la forme
eth0:x
> n'existent pas, c'est eth0 qui compte. Un alias ne crée par une nouve lle
interface,
> il ne fait qu'ajouter une adresse à une interface existante dont il
partage les
> paramètres (flags, MTU, etc.).
>
> Ça veux dire que je n'ai pas besoin de modifier netfilter ?

Ça dépend des règles iptables. Si elles ne considèrent que les
interfaces et pas les adresses, ce qui est le cas des tiennes, alors
effectivement elles n'ont pas besoin d'être modifiées.

Note : Netfilter n'est que l'infrastructure générique de traitement d es
paquets réseau sur laquelle vient se greffer iptables (et/ou ipchains,
ip6tables...) qui gère les règles de filtrage/nat/mangle IP.

>>Si tu veux qu'on trouve ce qui manque, tu peux publier les sorties de :
>>- ifconfig et route -n sur une machine de A, une de B et la passerelle
>>- iptables-save sur la passerelle
>
> Sur les machine A : 192.168.5.0/24 et passerelle 192.168.5.102
> Sur les machine B : 192.168.8.0/24 et passerelle 192.168.8.8
>
> Route -n me donne :
>
> Destination Passerelle Genmask Iface
> 192.168.5.0 * 255.255.255.0 eth0
> Localnet * 255.255.255.0 eth0
> Default 192.168.8.30 eth0

Sur quelle machine ? La passerelle ?
Je doute que l'option -n renvoie "Localnet" et "Default". Que représent e
"Localnet" ? Si c'est la table de routage de passerelle, je suppose
qu'il s'agit de 192.168.8.0.

> 192.168.8.30 étant le routeur après la passerelle qui est relié à
internet.
> La sortie iptables-save :

Original que le routeur soit sur sur le même réseau que le reste.

> *nat
> :PREROUTING ACCEPT [2701135:314954246]
> :POSTROUTING ACCEPT [1836254:129765162]
> :OUTPUT ACCEPT [1777094:126977546]
> -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK
SYN -j
> REDIRECT --to-ports 3128

L'option --tcp-flags n'est pas très utile dans une règle NAT. Seul le
premier paquet d'une connexion traverse les chaînes de la table nat, et
si ce n'est pas un paquet SYN il devrait de toute façon être rejeté par
une règle de filtrage ou la pile TCP/IP du destinataire.

> *filter
> :INPUT DROP [0:0]
> :FORWARD DROP [32:3360]
> :OUTPUT DROP [0:0]
> -A INPUT -i lo -j ACCEPT
> -A INPUT -i eth0 -j ACCEPT
> -A INPUT -i eth0 -j ACCEPT

Doublon.

> -A INPUT -i eth0 -p tcp -m tcp --dport 3128 --tcp-flags SYN,RST,ACK SYN
-j ACCEPT

Inutile, la règle précédente accepte déjà tout en entrée sur eth0.

> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en entrée sur ces deux interfac es.

> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 9900 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p tcp -m tcp --dport 8500 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 53 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -p udp -m udp --dport 3128 -j ACCEPT
> -A FORWARD -i eth0 -o eth0 -j ULOG
> -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Note : cette règle est placée de préférence dans en tête de lis te car
pour la grande majorité des paquets, qui sont dans l'état ESTABLISHED ,
cela évite de dérouler les autres règles.

Il n'y a pas de règle autorisant l'ICMP echo-request, normal que le pin g
ne passe pas entre A et B. Il ne doit pas non plus passer depuis A ou B
vers l'extérieur.

iptables -A FORWARD -i eth0 -o eth0 -p icmp --icmp-type echo-request
-j ACCEPT

Par contre les protocoles explicitement autorisés devraient passer.

> -A OUTPUT -o lo -j ACCEPT
> -A OUTPUT -o eth0 -j ACCEPT
> -A OUTPUT -o eth0 -j ACCEPT

Doublon.

> -A OUTPUT -o eth0 -j ULOG
> -A OUTPUT -o lo -j ULOG
> -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN
-j ACCEPT
> -A OUTPUT -o eth0 -p udp -m udp --dport 53 -j ACCEPT

Toutes ces règles sont sans effet, des règles précédentes accepte nt déjà
tout en sortie sur les interfaces lo et eth0.

> -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Inutile si lo et eth0 sont les seules interfaces puisque des règles
précédentes acceptent déjà tout en sortie sur ces deux interfaces .

D'après ces règles, l'accès au web à travers le proxy transparent
devrait fonctionner pour 192.168.5.0/24, à condition que squid soit
configuré pour accepter les requêtes provenant de ces adresses.
Par contre, les autres protocoles autorisés ne fonctionneront que si
le routeur 192.168.8.30 a une route vers 192.168.5.0/24. Ou bien en
ajoutant une règle iptables SNAT pour masquer l'adresse source :

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.5.0/24
-d 192.168.8.30 -j SNAT --to-source 192.168.8.8

Par contre les communications entre A et B sur les ports autorisés
devraient fonctionner.

Pour finir, attention aux éventuels ICMP redirect qui pourraient être
émis par la passerelle à l'émetteur d'un paquet quand les interface s
d'entrée et de sortie sont identiques. Cet ICMP, s'il est accepté, a
pour conséquence de créer dans la table de routage de l'émetteur un e
route directe vers la destination du paquet avec le routeur comme
passerelle, court-circuitant la passerelle pour cette destination.

Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

RE: Problème de routage

2 réponses

Veuillez sélectionner un problème