routage

--=-oGsHThQ4TG3i9Gnl3z04
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le lundi 21 mars 2005 à 16:58 +0100, Tahar a écrit :

Salut,

Coucou!

Je voudrais savoir comment faire du routage pour
connecter deux ordinateurs en même temps sur internet,
j'ai deux carte réseau dans le premier, eth0 et eth1
sur eth0 est connecté mon modem-routeur ADSL dont
l'adresse IP est 192.168.1.2 et celle du routeur
192.168.1.1
eth1 à une adresse 192.168.2.3, quand je connecte un
ordinateurs à eth1 losqu'il fait ping 192.168.1.2 il
reçoit une réponse mais pas de réponse depuis
192.168.1.1 quand je mets comme passerelle l'@ de eth0
quand j'essaye de me connecter sur Internet depuis
l'ordinateur connecté à eth1, je ne peux pas naviguer
est ce qu'il faut rediriger avec iptables les requetes
ou il y a autre chose à faire.

1-Activer le forwarding dans le noyau de la passerelle:
# echo 1 > /proc/sys/net/ipv4/ip_forward

2- charger les modules de suivi:
#modprobe iptables_nat
#modprobe ip_nat_irc
#modprobe ip_nat_ftp

3-Définir les règles de fw idoines:
#iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.2.0/24 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
#iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d
192.168.2.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

#iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.0/24 -j MASQUERADE

Pense à flusher les tables et à définir les actions par défaut en d ébut
de ton script de firewall...

Pour une vue générale, sur la configuraétion d'une passerelle:
http://www.lea-linux.org/reseau/gateway.html
et plus précisément (un "must read"):
http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.html

Merci pour votre aide

np

++ ;)

_ _ _ _ ____ ___ _
| | (_)| |__ ___ _ __| |_ _ _ / ___| ___ / _| |_
| | | || '_ / _ | '__| _| / /___ / _ | |_| _|
| |__ | || (_) | __/| | | |__ / / ___) | (_) | _| |__
___||_||____/ ___||_| ___| / |____/ ___/|_| ___|
/ /
/_/
-----------------------------------------------------------------------

NON A LA MUSIQUE TRANSGENIQUE ! http://www.musique-libre.org/
Take action against software patents http://swpat.ffii.org
Sauvez le droit d'auteur http://eucd.info
APRIL http://www.april.org
LibertySoft http://www.libertysoft.tn.refer.org/

-----------------------------------------------------------------------






Découvrez le nouveau Yahoo! Mail : 250 Mo d'espace de stockage pour vos mails !
Créez votre Yahoo! Mail sur http://fr.mail.yahoo.com/

--
\^/// ( *******************************************************
q - - p / / ----- Mail policy ----- *
| @ | / / ----- Règles d'utilisation de mon email ----- *
************/ / *
* Une adresse mail est une donnée privée, plus privée qu'une adresse *
* postale puisqu'elle permet de rentrer chez le destinataire sans y *
* être invité. Aussi, lorsque l'on vous communique une adresse, vous *
* en êtes responsable et vous n'avez pas à la divulguer sans y avoir *
* été expressément invité par son propriétaire. *
* Si vous devez faire un mailing, utilisez le champ copie invisible *
* (Bcc, Ccc ou Cci en fonction de votre logiciel) et mettez vous en *
* destinataire principal du mail (champ To) ou encore, faites une liste*
* de diffusion. En aucun cas, ne diffusez votre carnet d'adresses dans *
* les champs To ou Cc! Si vous ne savez pas comment faire, apprenez ou *
* bien ne faites pas!!! *
* Lorsque vous forwardez un mail, effacez toutes les adresses qui *
* apparaissent dans le contenu du mail forwardé. Encore une fois, si *
* vous ne savez pas comment faire, apprenez ou bien ne faites pas!!! *
*----------------------------------------------------------------------*
* Si vous ne respectez pas cette politique, retirez-moi de votre carnet*
* d'adresses et effacez tous les mails contenant mon adresse: je n'ai *
* aucune intention de me faire spammer de pubs ou de virii à cause de *
* votre irresponsabilité. *
*______________________________________________________________________*
* An email address is private, more private than a snail mail address *
* as it allows anyone to come in without being invited. When someone *
* gives you his email, you are responsible of it and don't have to *
* divulgate it unless you've been expressly invited to do so by its *
* owner. *
* If you need to do a mailing, use the invisible copy field (Bcc, Ccc, *
* Cci according to your soft) using your own mail as the main *
* destination (field To) or create a mailing list. In no way, should *
* you send your addressbook in the To or Cc fields! If you don't know *
* how to do, either learn or don't do it!!! *
* When you forward a mail, erase every address appearing in the *
* forwarded message. Once again, if you don't know how to do so, *
* either learn or don't do it!!! *
*----------------------------------------------------------------------*
* If you do not respect this policy, remove me from your addressbook *
* and erase every mail containing my email address: I have no time to *
* spend cleaning virii and spams I would receive in consequence of *
* your irresponsibility. *
*______________________________________________________________________*

--=-oGsHThQ4TG3i9Gnl3z04
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQBCPwE/csdrgK9aigMRAlGEAJ9jwik+aZt3o8klRdxmu23Xgd4ktQCeOX/D
YVE1MJPrLpxzPRuQz9Fulr0 =BLJ+
-----END PGP SIGNATURE-----

--=-oGsHThQ4TG3i9Gnl3z04--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Le Mon, 21 Mar 2005 16:58:46 +0100, Tahar a écrit :

Je voudrais savoir comment faire du routage pour connecter deux
ordinateurs en même temps sur internet, j'ai deux carte réseau dans le
premier, eth0 et eth1 sur eth0 est connecté mon modem-routeur ADSL dont
l'adresse IP est 192.168.1.2 et celle du routeur 192.168.1.1
eth1 à une adresse 192.168.2.3, quand je connecte un ordinateurs à eth1
losqu'il fait ping 192.168.1.2 il reçoit une réponse mais pas de
réponse depuis 192.168.1.1 quand je mets comme passerelle l'@ de eth0
quand j'essaye de me connecter sur Internet depuis l'ordinateur connecté
à eth1, je ne peux pas naviguer est ce qu'il faut rediriger avec iptables
les requetes ou il y a autre chose à faire.

C'est pas très clair tout ça :-(

On trouve pour une poignée d'euros des switches pour faire communiquer
entre eux ordis et routeurs.
Ca paye largement le temps pour ajouter une 2ème carte réseau à un PC.

Il y a fort à parier que ton modem-routeur dispose d'un serveur DHCP
capable de fournir une adresse IP aux PCs, de transformer une URL en
adresse IP, d'indiquer la route pour aller sur Internet.

Iptables n'est pas la première chose à régler, il faut déjà aller
voir les tables de routage et les adresses de tes réseaux.

Dans ton cas, le plus est simple est d'aller acheter un switch:
http://www.ldlc.fr/cat/140078.html

Tu seras déjà prêt pour faire face à un augmentation de ton parc
informatique.

Merci pour votre aide

Avec plaisir
Jean-Pierre



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Salut,

manioul a écrit :

Le lundi 21 mars 2005 à 16:58 +0100, Tahar a écrit :

Je voudrais savoir comment faire du routage pour
connecter deux ordinateurs en même temps sur internet,
j'ai deux carte réseau dans le premier, eth0 et eth1
sur eth0 est connecté mon modem-routeur ADSL dont
l'adresse IP est 192.168.1.2 et celle du routeur
192.168.1.1

Modem-routeur = 192.168.1.2 et routeur = 192.168.1.1 ?
Je suppose qu'il fallait comprendre eth0 = 192.168.1.2 ?

eth1 à une adresse 192.168.2.3, quand je connecte un
ordinateurs à eth1 losqu'il fait ping 192.168.1.2 il
reçoit une réponse mais pas de réponse depuis
192.168.1.1 quand je mets comme passerelle l'@ de eth0
quand j'essaye de me connecter sur Internet depuis
l'ordinateur connecté à eth1, je ne peux pas naviguer
est ce qu'il faut rediriger avec iptables les requetes
ou il y a autre chose à faire.

Pas de routage activé sur l'ordinateur aux deux cartes réseau et/ou
route de retour vers 192.168.2.0/24 manquante sur le routeur et/ou
règles de filtrage non adaptées.

1-Activer le forwarding dans le noyau de la passerelle:
# echo 1 > /proc/sys/net/ipv4/ip_forward

Sous Debian on peut faire en sorte que le forwarding IP soit activé
automatiquement au démarrage du réseau avec l'option ip_forward=yes dans
le fichier /etc/network/options.

2- charger les modules de suivi:
#modprobe iptables_nat
#modprobe ip_nat_irc
#modprobe ip_nat_ftp

Comme leur nom le suggère, ceux-ci sont plutôt les modules de NAT, et au
passage le premier s'appelle iptable_nat (sans "s", c'est le module de
_la_ table nat). Les modules de suivi de connexion sont ip_conntrack,
ip_conntrack_ftp... Normalement les modules de base (ip_conntrack,
iptable_nat) sont chargés automatiquement par les règles iptables (-m
state, -t nat) ou les modules spécifiques (ip_nat_ftp, ip_conntrack_ftp)
qui en ont besoin.

3-Définir les règles de fw idoines:
#iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.2.0/24 -d
0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
#iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d
192.168.2.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

Pourquoi surcharger les règles avec des conditions sur 0.0.0.0/0 qui
sont toujours remplies ?

#iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.0/24 -j MASQUERADE

Plutôt -o eth0, celle-ci étant l'interface de sortie vers internet.

Pour finir, je suis d'accord avec J.Pierre : il serait bien plus simple
de raccorder directement les deux machines sur le routeur au moyen d'un
switch si ce dernier n'a qu'un seul port LAN.

Une autre possibilité à peu près équivalente serait de créer un pont
ethernet transparent entre les deux interface eth0 et eth1 de la
première machine, ce qui transformerait celle-ci en switch à deux ports.
Cf. l'outil brctl du paquetage bridge-utils, et le Bridging HOWTO
(http://bridge.sourceforge.net/howto.html). Comme le switch, ça évite de
mettre en place du routage IP et de la NAT.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

--=-YScLIFNzJXd2bMXE9kim
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Le lundi 21 mars 2005 à 22:28 +0100, Pascal@plouf a écrit :
[...]

> 2- charger les modules de suivi:
> #modprobe iptables_nat
> #modprobe ip_nat_irc
> #modprobe ip_nat_ftp

Comme leur nom le suggère, ceux-ci sont plutôt les modules de NAT, et au
passage le premier s'appelle iptable_nat (sans "s", c'est le module de
_la_ table nat).

Bien vu!

Les modules de suivi de connexion sont ip_conntrack,
ip_conntrack_ftp... Normalement les modules de base (ip_conntrack,
iptable_nat) sont chargés automatiquement par les règles iptables (-m
state, -t nat) ou les modules spécifiques (ip_nat_ftp, ip_conntrack_ftp )
qui en ont besoin.

> 3-Définir les règles de fw idoines:
> #iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.2.0/24 -d
> 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
> #iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d
> 192.168.2.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

Pourquoi surcharger les règles avec des conditions sur 0.0.0.0/0 qui
sont toujours remplies ?

Mince, il me semblait avoir une raison; mais en y réfléchissant là, ça
me semble aussi inutile...

> #iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.0/24 -j MASQUERADE

Plutôt -o eth0, celle-ci étant l'interface de sortie vers internet.

Pour finir, je suis d'accord avec J.Pierre : il serait bien plus simple
de raccorder directement les deux machines sur le routeur au moyen d'un
switch si ce dernier n'a qu'un seul port LAN.

Certes, mais la question du môssieu concernait le routage, et
l'utilisation de deux cartes rezo sur une machine laisse penser qu'il
veut autre chose qu'un switch?...
Tout à fait d'accord sur le 'plus simple'.

Une autre possibilité à peu près équivalente serait de créer un pont
ethernet transparent entre les deux interface eth0 et eth1 de la
première machine, ce qui transformerait celle-ci en switch à deux por ts.
Cf. l'outil brctl du paquetage bridge-utils, et le Bridging HOWTO
(http://bridge.sourceforge.net/howto.html). Comme le switch, ça évite de
mettre en place du routage IP et de la NAT.

--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn___^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/


--=-YScLIFNzJXd2bMXE9kim
Content-Type: application/pgp-signature; name=signature.asc
Content-Description: Ceci est une partie de message
=?ISO-8859-1?Q?numériquement?= =?ISO-8859-1?Q?_signée?
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQBCP1y9csdrgK9aigMRAkIPAKCWcxMdTNJ3G9iAU+u3jeGDe1eh/wCdGXp3
IeWnJzV8ap1W2Iml536h+zM =t09t
-----END PGP SIGNATURE-----

--=-YScLIFNzJXd2bMXE9kim--


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org