Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[résolu]2PC sous nux + 1 connec = pblème de partage...


Messages recommandés

Lu tout le monde,

Comme qui dirait j'ai un chtit problème de partage de connection:

 

ma configuration :

 

pc1 : Aurox 9.4(basé sur fedora) , 2 cartes réseaux : eth0 relié au modem ethernet,

et eth1 relié au pc2

 

pc2 : Mdk10.0 , 1 carte réseau relié à pc1

 

j'ai config le pc1 en passerelle, ainsi que la table de routage du pc2, mais impossible de se connecter à partir de pc2 !

 

2 hypothéses, je vous demande laquelle est la plus probable :

 

1)mauvaise configuration de mon gateway

2)j'ai vaguement entendu parler de la notion de "bridge", faut-il en faire 1 entre eth0 et eth1 sur ma passerelle ?

 

merci pour l'aide que vous pourrez me fournir. :P

Lien à poster
Partager sur d’autres sites

/sbin/iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward

 

ensuite, faut voir ce que tu autorises dans la chaine FORWARD de la table filter

Pour tester seulement, sans filtrage:

/sbin/iptables -t filter -P FORWARD ACCEPT

 

faut raffiner ensuite. Y a t il un utilitaire de configuration du firewall dans Aurox?

 

le bridge n'est pas forcément nécessaire.

Lien à poster
Partager sur d’autres sites

Lu,

merci pour ta réponse, mais comme qui dirait il y a un hic :P

[[email protected] sbin]# iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j MASQUERADE
iptables v1.2.9: Can't use -i with POSTROUTING

 

:-(

 

PS : pour répondre à ta question sur la présence où non d'un gui pour firewall dans la distrib aurox c'est non

Modifié par Dead_Phoenix
Lien à poster
Partager sur d’autres sites

oui, en effet, j'avais pas vérifié... :P

même commande mais sans spécification de l'interface d'entrée:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Lien à poster
Partager sur d’autres sites

:P .... comment on dit déjà ? ya une couille dans la soupe :-P

 

résumé de la situation rien que pour tes yeux un iptables -L de mon gateway :

 

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:nntp

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:nntp

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere            icmp any
ACCEPT     ipv6-crypt--  anywhere             anywhere
ACCEPT     ipv6-auth--  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:telnet
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited

 

( entre parenthése ... euhh à vue de nez je forward n'importe qui avec ces règles... je suis le bon samaritain du net :-P )

 

Sur le pc client , ben la table de routage est bonne , j'ai fait un :

route add default gw 192.168.0.1 netmask 255.255.255.0 metric 1

avec cette config , en essayant de pinger google je me tapais un "unknown host"

alors prenant exemple sur la table de routage de ma passerelle j'ai entré la commande :

route add default gw 192.168.0.1 netmask 0.0.0.0 metric 1

là le ping ne renvoie plus rien ... qu'un gros blanc ... idem pour la commande route ( ctrl + c obligé )

la commande dmesg sur le client me renvoie ipv6 : no such routers ...

tralalalalala.... :-(

c'est la mierda ... merci d'avance pour ton aide

alerte de dernière minute : en fait j'arrive plus à pinguer client de la passerelle... le câble est branché...mystère et boule de gomme ?..

deuxième edit : grrrr les 2 interfaces sont running ... chez le client comme chez le gw...

me conseilles-tu une incantation divinatoire du démon posix ?

Modifié par Dead_Phoenix
Lien à poster
Partager sur d’autres sites

comme passoire, j'ai rarement vu pire :P

 

 route add default eth0

sur le client devrait suffire.

les DNS de ton FAI sont renseignés dans /etc/resolv.conf ?

 

sur la passerelle,

cat /proc/sys/net/ipv4/ip_forward

iptables -t nat -L POSTROUTING

 

et le ifconfig des 2 tant qu'on y est :-(

 

et tu me vires la première entrée de la chaine FORWARD qui doit foutre le dawa

 

(c'est les règles par défaut ???)

Lien à poster
Partager sur d’autres sites

yop yop yop ,

prépare tes invocations vaudoux

:-P

 

sur le client j'ai executé route add default eh0

résultat : la commande route m'affiche juste les titres des colonnes et se bloque... :-P

les ip de mes dns sont bien dans le resolv.conf de mon client

 

résultat de mon ifconfig sur mon pc client : ( en gros, ben vi j'arrive plus à le pinguer... alors pour transférer :P ) :

Lien encap : ethernet Hwaddr : un truc chelou ... mais les adresses mac c'est toujours chelou :-P

inetaddr : 192.168.0.3 bcast : 192.168.0.255 netmask : 255.255.255.0

UP BROADCAST RUNNING MULTICAST ...

 

atenzione les zieux : ifconfig de mon gateway ..

 

eth0      Lien encap:Ethernet  HWaddr 00:50:BA:BB:10:EF
         inet adr:192.168.0.1  Bcast:192.168.0.255  Masque:255.255.255.0
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:181992 errors:0 dropped:0 overruns:0 frame:0
         TX packets:178686 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:1000
         RX bytes:51026147 (48.6 Mb)  TX bytes:19245376 (18.3 Mb)
         Interruption:10 Adresse de base:0xbc00

eth1      Lien encap:Ethernet  HWaddr 00:E0:4C:70:15:DA
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:442 errors:0 dropped:0 overruns:0 frame:0
         TX packets:487 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:1000
         RX bytes:35012 (34.1 Kb)  TX bytes:37442 (36.5 Kb)
         Interruption:11 Adresse de base:0xc000

lo        Lien encap:Boucle locale
         inet adr:127.0.0.1  Masque:255.0.0.0
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:6929 errors:0 dropped:0 overruns:0 frame:0
         TX packets:6929 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:0
         RX bytes:353156 (344.8 Kb)  TX bytes:353156 (344.8 Kb)

ppp0      Lien encap:Protocole Point-à-Point
         inet adr:81.185.145.91  P-t-P:81.185.145.1  Masque:255.255.255.255
         UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
         RX packets:48225 errors:0 dropped:0 overruns:0 frame:0
         TX packets:46659 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 lg file transmission:3
         RX bytes:14540823 (13.8 Mb)  TX bytes:4569189 (4.3 Mb)

 

A tiens j'y pense ... aux gens de passage, si il vous manque qqchose pour me hacker faites le savoir :-P

 

Bon quant à la ligne que je dois supprimer de mon forward , j'espère que dans ton immensse bonté tu daigneras me dire comment faire ( j'ai une petite idée , mais vu comment j'ai configuré le fire je doute que ce soit la bonne :-P )

 

Et sinon pour tout te dire , NON ce n'est pas la config par défaut , juste le résultat d'un tripatouillage obscéne de ma distrib en quête de plaisir lubrique ( et accessoirement de passerelle) :-(

Lien à poster
Partager sur d’autres sites

bon,

1/ faut régler cette histoire de ping (bizarre l'adressage semble correct :P, ping 127.0.0.1 fonctionne ?)

2/ le masquerade faut le faire sur ppp0

 

sinon pour le FW, la règle est: on interdit tout sauf ce qu'on autorise explicitement

exemple de script:

#! /bin/sh
# Effacement de toutes les règles
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

#On règle les politiques par défaut à DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# On active le masquerading
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# On construit une chaine par direction, que l'on vide en début de script
# ppp0 = interface publique
# eth0 = interface privée
iptables -N ppp0-eth0
iptables -N eth0-ppp0
iptables -X eth0-ppp0
iptables -X ppp0-eth0

# On élimine les paquets ayant tous les flags TCP activés ainsi que ceux
# avec aucun flag d'activé
iptables -A FORWARD -p tcp --tcp-flags ALL ALL -j DROP
iptables -A FORWARD -p tcp --tcp-flags ALL NONE -j DROP

# On accepte les paquets appartenant à  une connexion déjà  établie
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT

# selon le sens d'arrivée des paquets on transmet à la chaine
# correspondante
iptables -A FORWARD -i eth0 -o ppp0 -j eth0-ppp0
iptables -A FORWARD -i ppp0 -o eth0 -j ppp0-eth0

# On ignore tout le reste
iptables -A FORWARD -j DROP

# Chaine Intérieur -> Extérieur
# On accepte les services mail, DNS, http(s), ftp (passif) et ping
iptables -A eth0-ppp0 -p udp --dport domain -j ACCEPT
iptables -A eth0-ppp0 -p tcp --dport smtp -j ACCEPT
iptables -A eth0-ppp0 -p tcp --dport pop3 -j ACCEPT
iptables -A eth0-ppp0 -p tcp -m state --state NEW --dport ftp -j ACCEPT
iptables -A eth0-ppp0 -p tcp -m state --state RELATED,ESTABLISHED --dport 1024: -j ACCEPT
iptables -A eth0-ppp0 -p tcp --dport www -j ACCEPT
iptables -A eth0-ppp0 -p tcp --dport https -j ACCEPT
iptables -A eth0-ppp0 -p icmp -j ACCEPT
iptables -A eth0-ppp0 -j DROP

# Chaine Extérieur -> Intérieur
# Pour accepter des requetes vers d'éventuels services
iptables -A ppp0-eth0 -j DROP

# Chaines pour la passerelle/firewall elle-même:
iptables -N ppp0-if
iptables -N eth0-if
iptables -X ppp0-if
iptables -X eth0-if
iptables -A INPUT -i ppp0 -j ppp0-if
iptables -A INPUT -i eth0 -j eth0-if

#On accepte la boucle locale
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Interface Externe
# On accepte les services devant être accessibles de l'extérieur
iptables -A ppp0-if -m state --state ESTABLISHED -j ACCEPT
iptables -A ppp0-if -j DROP

# Interface interne (On accepte tout si on a confiance dans son LAN)
iptables -A eth0-if -j ACCEPT

#contrôle de OUTPUT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp --dport domain -j ACCEPT
iptables -A OUTPUT -p tcp --dport smtp -j ACCEPT
iptables -A OUTPUT -p tcp --dport pop3 -j ACCEPT
iptables -A OUTPUT -p tcp --dport www -j ACCEPT
iptables -A OUTPUT -p tcp --dport https -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW  --dport ftp -j ACCEPT
iptables -A OUTPUT -m state --state RELATED -p tcp --dport 1024: -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

# On active la passerelle uniquement quand toutes les regles de filtrage
# sont opérationnelles, pas avant !
echo "1" > /proc/sys/net/ipv4/ip_forward

 

à adapter en fonction des besoins... et s'assurer que les bons modules sont chargés (notamment pour le conntracking)

 

sinon pour virer une entrée particulière d'une chaîne:

iptables -t <table: filter(par défaut), nat, mangle,...> -D <chaîne> <n° de la règle>

 

exemple: enlever la 3ème entrée de la chaine OUTPUT (table filter)

iptables -t filter -D OUTPUT 3

Modifié par Greywolf
Lien à poster
Partager sur d’autres sites

Yop yop,

désolé pour le petit blackout de quelques jours... j'ai eu comme qui dirait quelques petits problèmes avec le système de refroidissement de mon ordi :-P

Maintenant Tout marche au poil ! :P

:-( greywolf :-P

 

en espérant qu'un jour mes connaissances grandissantes en matière d'info puisse t'aider :-P

Lien à poster
Partager sur d’autres sites

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...