[EMAIL PROTECTED] wrote:
Bayrouni a écrit :
[...]
Les résolutions DNS sur PC2 marchent ?
Que renvoie un 'traceroute -n' de PC2 vers une adresse IP
extérieure ?
Peux-tu balancer, pour les deux PC, les sorties de :
ifconfig
route -n
iptables-save
cat /proc/sys/net/ipv4/ip_forward
C'est un accès internet par le câble ?
[...]
1/ ifconfig est configuré correctement (ip 192.168.0.10 mask
255.255.255.0 bcast 192.168.0.255)
ip est lié à l'adresse mac de PC2.
2/ route -n donne 0.0.0.0 192.168.0.1 0.0.0.0 ug
0 0 0 eth0
3/ iptables et comme je l'ai dit plus haut est désactivé afin de ne
pas soupçonner une des règles du firewall sur le gateway
je lance la commande suivante sur PC1 (gateway) iptables --table
nat --append POSTROUTING -o eth0 --jump MASQUERADE (aucune erreur
en retour).
4/ cat /proc/sys/net/ipv4/ip_forward donne 1
5/ l'accès internet est effectivement via un modem-cable
J'espere avoir repondu aux questions
Je vais être franc, et peut-être un peu dur : non.
J'ai posé des questions simples et précises, j'attendais des réponses
tout aussi simples et précises. J'attendais la sortie *complète* de
*chaque* commande pour *chaque* machine, et pas des interprétations.
Il suffisait de taper les commandes et recopier les réponses. Ici, tu
ne réponds pas à toutes les questions et tu ne recopies qu'une partie
des sorties. Comprenons-nous bien. Je fais ça pour aider. Ta
configuration ne marche pas à cause d'un détail qui t'échappe. Par
expérience, je sais que ce détail a de grandes chances d'être caché
dans la sortie de ces commandes. Toi, tu ne sauras peut-être pas le
voir, mais d'autres plus expérimentés le verront. Si le détail se
trouve dans ce que tu n'as pas recopié, les autres ne pourront que
deviner.
julien wrote:
et en ajoutant à tout ça un petit
iptables -A FORWARD -j ACCEPT
Bingo Julien.
Maintenant tout d'un coup mon partable reçoit des echo icmp pour une
ip en dehors du reseau local.
Donc le détail significatif était dans la sortie de iptables-save sur
PC1, que tu n'as pas donnée. Heureusement Julien a eu du nez.
Je suppose que la politique par défaut de la chaîne FORWARD était DROP
(bloquer), donc une règle ACCEPT était nécessaire pour autoriser les
paquets forwardés. Donc contrairement à ce que tu pensais, non
seulement la table filter d'iptables n'était pas désactivée mais en
plus elle n'était pas dans sa configuration par défaut avec toutes les
politiques par défaut à ACCEPT.
Mais celà me pousse à poser une dernière question:
Le 1 dans /proc/sys/net/ipv4/ip_forward sert à quoi?
J'ajouterais meme le ip_forward=yes dans /etc/sysctl.conf ?
En fait il s'agit du même paramètre, auquel on accède soit via le
système de fichiers virtuel /proc soit grâce à l'outil sysctl. Ce
paramètre agit au niveau de la fonction routage de la pile IP et
détermine le traitement des paquets reçus qui ne sont pas destinés à
la machine. Si ip_forward vaut 1, ces paquets sont renvoyés via
l'interface appropriée ; la machine se comporte en routeur. En
revanche, si ip_forward vaut 0, ces paquets sont détruits ; la machine
se comporte en simple hôte.
C'est complètement indépendant des règles iptables qui font du
filtrage. Comme tout paquet "forwardé" traverse la chaîne FORWARD, il
doit en plus être accepté par une règle de cette chaîne, ou à défaut
par sa politique par défaut, pour ressortir. Si la politique par
défaut de la chaîne FORWARD est ACCEPT, pas besoin de règle explicite.
Si la politique par défaut est DROP, il faut une règle comme celle
proposée par Julien.
Maintenant, tu peux affiner tes règles iptables pour éviter que ta
passerelle reste ouverte à tous les vents.
Je ne pouvais pas inclure les sorties car justement PC2 n'était pas
relié encore à l'internet.
Je comprends que c'est très important de le faire quand c'est possible.
En ce qui concerne tes explications à propos du forwarding et de la
règle netfilter FORWARD ACCEPT ç'est clair pour moi car tu l'expliques
très bien.
En ce qui concerne les règles du firewall, elles était à DROP toutes.
Mon script à 3 options start stop et open_all.
J'ai arreté mon firewall avec stop, et celà laissait les règles
built_in à DROP.
Il fallait utiliser open_all qui retablit les règles par defaut donc
ACCEPT pour tout.
Merci pour toutes tes explications qui sont pertinentes.
Bayrouni.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
