Tonio F a écrit :
Merci à vous deux pour ces réponses expresses.
"Vous deux" ? Je ne vois que ma réponse.
Sur ma passerelle voici mon /etc/networl/interfaces :
[...]
auto lo iface lo inet loopback up echo "1" > /proc/sys/net/ipv4/ip_forward
En principe ce n'est pas le meilleur endroit pour ça, le forwarding IP n'a rien à voir avec l'activation de l'interface de loopback.
[RAS pour le reste]
mes iptables : #!/bin/sh # /etc/network/if-pre-up.d/iptables-start
Là aussi, je me demande si c'est le meilleur endroit, si comme je le suppose ce script est exécuté à chaque fois qu'une interface réseau est activée via ifup.
[...]
iptables -P FORWARD ACCEPT
Et aucune règle dans la chaîne FORWARD dans ce qui suit, donc pas de blocage à ce niveau.
[...]
# Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel # soit joignable de l'extérieur #iptables -A INPUT -p tcp --dport 53 -j ACCEPT #iptables -A INPUT -p udp --dport 53 -j ACCEPT
Je garde ceci pour plus tard, voir plus bas. [...]
# La règle par défaut pour la chaine INPUT devient "REJECT" iptables -A INPUT -j REJECT
Certes REJECT est plus respectueux des RFC que DROP en général, mais pas toujours. Ainsi les paquets vus dans l'état INVALID par le suivi de connexion doivent être bloqués silencieusement et non rejetés avec un message d'erreur. De même d'autres types de paquets inattendus ne doivent pas donner lieu à l'envoi d'un message d'erreur (TCP reset, messages d'erreur ICMP...) mais ceux-ci sont déjà correctement pris en compte par REJECT. Ceci dit, tout cela relève du perfectionnisme et ne gêne pas la connectivité.
[...]
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -j SNAT --to-source 10.0.0.8
Ça a l'air correct. On peut aussi écrire 192.168.0.0/24 en notation CIDR, où 24 représente la taille du masque, le nombre de bits à 1.
[...]
Sur le client j'ai : /etc/network/interfaces
[RAS] [...]
mon /etc/resolv.conf : nameserver 192.168.0.1
Je pressens un problème ici. Pour fonctionner cette ligne suppose que la passerelle fait tourner un serveur DNS (Bind...) ou un relais DNS (dnsmasq...), *et* que celui-ci est accessible depuis le client. Or la "politique" INPUT par défaut est REJECT et les ports 53 TCP et UDP ne sont pas ouverts côté eth1 (voir plus haut). Le plus simple est sûrement d'utiliser le relais DNS du routeur 10.0.0.2, comme la passerelle.
[...]
Ce qui est étonnant c'est qu'aMule fonctionne mais en Low Id (donc c'est juste un problème de port forwarding) je suis connecté à Skype, j'arrive à recevoir des messages à en envoyer (à priori), mais impossible de me connecter à aMsn...
Peut-être à cause du problème de résolution DNS soulevé plus haut. Et concernant le web, ping, traceroute, par nom et par adresse IP ? -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
