je n'arrive pas à faire fonctionner un serveur Debian Woody 2.4.18-bf2 en
SNAT.
Le ping envoyé du PC2 (192.168.1.2) vers le PC1 (192.168.0.1), passe bien à
travers le serveur mais l'adresse source reste la même (vérifier avec
sniffer) et donc le ping ne reçoit pas de réponse.
Ce que je ne comprends pas : dans la table nat, la destination reste
0.0.0.0/0 que je mette dans la commande iptables -o eth0 ou -o 192.168.0.50.
Y a un truc que je ne dois pas saisir et j'ai besoin de votre aide.
merci d'avance,
Stephan
Voici la config :
1. ip_forward = 1
2. lsmod :
Module Size Used by Not tainted
ipt_MASQUERADE 1216 1 (autoclean)
iptable_nat 12660 1 [ipt_MASQUERADE]
ip_conntrack 12684 1 [ipt_MASQUERADE iptable_nat]
ip_tables 10432 4 [ipt_MASQUERADE iptable_nat]
3. la commande :
/sbin/iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -o eth0 -j MASQUERADE
4. la table NAT :
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Il semble n'y avoir aucun paquet passant pat la chaine FORWARD c'est normal ? Tu peux faire un coup de "iptables -t nat -L -v -n" apres avoir fait quelques pings ?
Il semble n'y avoir aucun paquet passant pat la chaine FORWARD c'est
normal ? Tu peux faire un coup de "iptables -t nat -L -v -n" apres avoir
fait quelques pings ?
Il semble n'y avoir aucun paquet passant pat la chaine FORWARD c'est normal ? Tu peux faire un coup de "iptables -t nat -L -v -n" apres avoir fait quelques pings ?
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
On Wed, 25 Aug 2004 22:06:32 +0200 "Mardaga Stephan" wrote:
D'abord un merci aux personnes qui m'ont conseillé et qui m'ont permis d'avancer.
J'ai comme l'impression que je tourne en rond et donc : 1. le problème a été reporté sur le forum de netfilter http://www.netfilter.org/mailinglists.html#ml-user 2. une page web a été créee avec les détails (config - stats) http://homeusers.brutele.be/smardaga/masquerade/
J'espère vous faire part d'une solution positive bientôt.
Sur ta page on voit bien que la règle n'est jamais utilisée, essaye de la rendre plus générale en virant le "-o eth0" ou en enlevant le filtre s ur la destination 192.168.1.0/24 mais je n'y crois pas trop et n'ai plus trop d'idées...
François Boisson
PS: Belle organisation: page très claire
On Wed, 25 Aug 2004 22:06:32 +0200
"Mardaga Stephan" <smardaga@brutele.be> wrote:
D'abord un merci aux personnes qui m'ont conseillé et qui m'ont permis
d'avancer.
J'ai comme l'impression que je tourne en rond et donc :
1. le problème a été reporté sur le forum de netfilter
http://www.netfilter.org/mailinglists.html#ml-user
2. une page web a été créee avec les détails (config - stats)
http://homeusers.brutele.be/smardaga/masquerade/
J'espère vous faire part d'une solution positive bientôt.
Sur ta page on voit bien que la règle n'est jamais utilisée, essaye de la
rendre plus générale en virant le "-o eth0" ou en enlevant le filtre s ur
la destination 192.168.1.0/24 mais je n'y crois pas trop et n'ai plus trop
d'idées...
On Wed, 25 Aug 2004 22:06:32 +0200 "Mardaga Stephan" wrote:
D'abord un merci aux personnes qui m'ont conseillé et qui m'ont permis d'avancer.
J'ai comme l'impression que je tourne en rond et donc : 1. le problème a été reporté sur le forum de netfilter http://www.netfilter.org/mailinglists.html#ml-user 2. une page web a été créee avec les détails (config - stats) http://homeusers.brutele.be/smardaga/masquerade/
J'espère vous faire part d'une solution positive bientôt.
Sur ta page on voit bien que la règle n'est jamais utilisée, essaye de la rendre plus générale en virant le "-o eth0" ou en enlevant le filtre s ur la destination 192.168.1.0/24 mais je n'y crois pas trop et n'ai plus trop d'idées...
François Boisson
PS: Belle organisation: page très claire
Charles Plessy
On Thu, Aug 26, 2004 at 09:31:33AM +0200, François Boisson wrote :
"Mardaga Stephan" wrote: > 2. une page web a été créee avec les détails (config - stats) > http://homeusers.brutele.be/smardaga/masquerade/
PS: Belle organisation: page très claire
Tiens, c'est curieux, firefox0.9 n'utilise par une police proportionelle pour le schémas du réseau en ascii art, alors que konqueror le fait.
-- Charles
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
On Thu, Aug 26, 2004 at 09:31:33AM +0200, François Boisson wrote :
"Mardaga Stephan" <smardaga@brutele.be> wrote:
> 2. une page web a été créee avec les détails (config - stats)
> http://homeusers.brutele.be/smardaga/masquerade/
PS: Belle organisation: page très claire
Tiens, c'est curieux, firefox0.9 n'utilise par une police
proportionelle pour le schémas du réseau en ascii art, alors que
konqueror le fait.
--
Charles
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Il semble n'y avoir aucun paquet passant pat la chaine FORWARD c'est normal ? Tu peux faire un coup de "iptables -t nat -L -v -n" apres avoir fait quelques pings ?
Vincent.
Tes infos reprisent plus haut ne sont pas de moi mais dans une réponse de Charles Plessy
Sinon voici iptables -t nat -L -v -n suite à de multiples pings *****avant config du masquerade******
Chain PREROUTING (policy ACCEPT 4 packets, 510 bytes) pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 2 packets, 154 bytes) pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1 packets, 70 bytes) pkts bytes target prot opt in out source destination
*****après config du masquerade**** que j'ai simplifié au possible par la commande #iptables -t nat -A POSTROUTING -j MASQUERADE
Chain PREROUTING (policy ACCEPT 5 packets, 558 bytes) pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 3 packets, 224 bytes) pkts bytes target prot opt in out source destination 0 0 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 2 packets, 140 bytes) pkts bytes target prot opt in out source destination
Une question : qu'est-ce policy ACCEPT x packets, x bytes ?
Stephan
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Il semble n'y avoir aucun paquet passant pat la chaine FORWARD c'est
normal ? Tu peux faire un coup de "iptables -t nat -L -v -n" apres avoir
fait quelques pings ?
Vincent.
Tes infos reprisent plus haut ne sont pas de moi mais dans une réponse de
Charles Plessy
Sinon voici iptables -t nat -L -v -n suite à de multiples pings
*****avant config du masquerade******
Chain PREROUTING (policy ACCEPT 4 packets, 510 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 2 packets, 154 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1 packets, 70 bytes)
pkts bytes target prot opt in out source destination
*****après config du masquerade**** que j'ai simplifié au possible
par la commande #iptables -t nat -A POSTROUTING -j MASQUERADE
Chain PREROUTING (policy ACCEPT 5 packets, 558 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 3 packets, 224 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 2 packets, 140 bytes)
pkts bytes target prot opt in out source destination
Une question : qu'est-ce policy ACCEPT x packets, x bytes ?
Stephan
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Il semble n'y avoir aucun paquet passant pat la chaine FORWARD c'est normal ? Tu peux faire un coup de "iptables -t nat -L -v -n" apres avoir fait quelques pings ?
Vincent.
Tes infos reprisent plus haut ne sont pas de moi mais dans une réponse de Charles Plessy
Sinon voici iptables -t nat -L -v -n suite à de multiples pings *****avant config du masquerade******
Chain PREROUTING (policy ACCEPT 4 packets, 510 bytes) pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 2 packets, 154 bytes) pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 1 packets, 70 bytes) pkts bytes target prot opt in out source destination
*****après config du masquerade**** que j'ai simplifié au possible par la commande #iptables -t nat -A POSTROUTING -j MASQUERADE
Chain PREROUTING (policy ACCEPT 5 packets, 558 bytes) pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 3 packets, 224 bytes) pkts bytes target prot opt in out source destination 0 0 MASQUERADE all -- * * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 2 packets, 140 bytes) pkts bytes target prot opt in out source destination
Une question : qu'est-ce policy ACCEPT x packets, x bytes ?
Stephan
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Mardaga Stephan
From: "Charles Plessy"
pas la peine, les effets sont immédiats. Tu n'as qu'à mettre une règle REJECT sur l'adresse que tu utilises pour te connecter en ssh pour t'en rendre compte ;)
-- Charles
J'ai essayé la commande #iptables -A INPUT -p tcp --dport 22 -j DROP et plus moyen d'avoir acces via ssh : iptables fonctionne donc ! ... pour la table filter.
Stephan
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
pas la peine, les effets sont immédiats. Tu n'as qu'à mettre une règle
REJECT sur l'adresse que tu utilises pour te connecter en ssh pour
t'en rendre compte ;)
--
Charles
J'ai essayé la commande #iptables -A INPUT -p tcp --dport 22 -j DROP
et plus moyen d'avoir acces via ssh : iptables fonctionne donc ! ... pour la
table filter.
Stephan
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
pas la peine, les effets sont immédiats. Tu n'as qu'à mettre une règle REJECT sur l'adresse que tu utilises pour te connecter en ssh pour t'en rendre compte ;)
-- Charles
J'ai essayé la commande #iptables -A INPUT -p tcp --dport 22 -j DROP et plus moyen d'avoir acces via ssh : iptables fonctionne donc ! ... pour la table filter.
Stephan
-- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
