Iptables et NAT sur Debian 3.0

[Greywolf]

Bonsoir tout le monde, le problème d'aujourd'hui est:

 

comment arriver à faire du NAT correctement avec Iptables (ou du moins arriver à cerner d'où vient le problème)?

 

PC passerelle

connexion ppp0 ADSL

interface eth0 192.168.0.1/24

Debian 3.0 kernel 2.4.20 avec Netfilter d'activé et Iptables 1.2.7a

 

PC client

interface eth0 192.168.0.2/24

gateway 192.168.0.1

DNS 192.168.0.1 193.152.19.3 193.152.19.4 (DNS de wanadoo)

Debian 3.0 kernel 2.4.20

 

 

le réseau local fonctionne bien (ping dans les 2 sens)

Sur le PC passerelle, j'ai fait les règles IPtables suivantes:

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -A INPUT -i eth0 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --dport ftp -j ACCEPT

iptables -A INPUT -i ppp0 -p tcp --dport ssh -j ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i ppp0 -p udp --destination-port 1024:65535 -j ACCEPT

iptables -A INPUT -i ppp0 -p icmp -j ACCEPT

 

et pour le NAT:

iptables -A POSTROUTING -o ppp0 -j MASQUERADE

echo "1" > /proc/sys/net/ipv4/ip_forward

 

malgré ça, le PC client n'arrive pas à sortir sur le WAN. a priori le PC client est bien configuré pour un accès internet via le LAN car lorsque le PC passerelle est sous WIndows avec NAT d'activé ça fonctionne.

 

J'ai loupé un truc? y'a des utilitaires pour diagnostiquer tout çà? Merci

[Greywolf]

quand je fais un

cat /proc/sys/net/ipv4/ip_forward 

 

le shell me retourne 0, c'est pas très normal ça (ça veut dire que le forwarding n'est pas activé, non?)

 

et si je refais

echo "1" > /proc/sys/net/ipv4/ip_forward 

 

le shell me retourne

zsh: le fichier existe.: /proc/sys/net/ipv4/ip_forward

 

mais la valeur est toujours à zero

[KewlCat]

le dernière ligne sert à activer le forwarding au niveau du noyau...

tu as quoi dans le /etc/resolv.conf de ta passerelle ?

tu accèdes au Net depuis ta passerelle ?

 

le echo "1" échoue ?!?!?? ouh là ! tu es bien root ?

[Greywolf]

Oui la passerelle accède au net (je suis dessus en ce moment)

contenu de /etc/resolv.conf:

nameserver 193.252.19.3



nameserver 193.252.19.4

 

soit les DNS de wanadoo.

[Greywolf]

oui oui

echo "1" > /proc/sys/net/ipv4/ip_forward est bien exécutée en tant que root.

[KewlCat]

tu as peut-être oublié le "-t nat" dans

/usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

?

[Greywolf]

j'ai compilé tout ce qui concernait IP, netfilter dans le noyau.

lsmod donne ça:

Module                  Size  Used by    Tainted: P  

ipt_MASQUERADE          1760   1  (autoclean)

iptable_nat            19540   1  (autoclean) [ipt_MASQUERADE]

ipt_state                608   1  (autoclean)

ip_conntrack           24236   2  (autoclean) [ipt_MASQUERADE iptable_nat ipt_state]

iptable_filter          1760   1  (autoclean)

ip_tables              12992   6  [ipt_MASQUERADE iptable_nat ipt_state iptable_filter]

soundcore               3364   0  (autoclean)

ppp_synctty             5184   1  (autoclean)

ppp_generic            20044   3  (autoclean) [ppp_synctty]

slhc                    4640   0  (autoclean) [ppp_generic]

n_hdlc                  6112   1 

agpgart                13664   3  (autoclean)

nvidia               1467456  10  (autoclean)

8139too                15520   1  (autoclean)

mii                     2256   0  (autoclean) [8139too]

usb-ohci               17856   0  (unused)

usbcore                55968   1  [usb-ohci]

nls_iso8859-1           2848   1  (autoclean)

nls_cp437               4384   1  (autoclean)

vfat                    9500   1  (autoclean)

fat                    29560   0  (autoclean) [vfat]

rtc                     6012   0  (autoclean)

[Greywolf]

tu as peut-être oublié le "-t nat" dans

/usr/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

?

 

ah vi ptet, j'ai réexécuté la commande. y'a pas besoin de réinitialiser iptables après?

j'allume le client et te dit si ça marche.

 

edit: le ip_forward est toujours à 0 quand même (même après exécution echo "1" > ......)

[KewlCat]

Ouais, j'ai à peu près les mêmes...

euh... si tu te contentes de :

 

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

 

(le firewall con, qui forwarde TOUT)...

 

(pendant ce temps-là, je regarde pourquoi tu n'aurais pas le droit de toucher à ce fichier...)

[Greywolf]

bon ben ça forwarde toujours pas. c'est ptet cette histoire de ip_forward... je vais arrêter là pour ce soir.. la nuit porte conseil Merci de ton aide.

 

 

edit: non même le firawall con ne forwarde rien (j'ai toujours la même réponse au echo, i veut pas le passer sur 1 grrrr)