Le Sat, Mar 23, 2002 at 03:21:23PM +0100, Fran�ois Lemaire �crivait : > Je commence un peu � m'embrouiller moi-m�me et je ne > sais pas trop si mon probl�me vient de la config de > mes cartes r�seuax, de mon noyau, de ipchains...
�a me rappelle fortement mes propres d�m�l�s avec ipchains... > J'ai une LS (ligne sp�cialis�e) qui arrive au bureau, > avec un routeur CISCO. Je veux mettre en place un > firewall derri�re ce routeur, mais mes machines > internes doivent �tre accessibles de l'ext�rieur, car > j'ai des serveurs webs et SMTP dans le tas. Nous > disposons de deux sous-r�seaux IP diff�rents > utilisables sur internet. Donc je configure mon eth0 > sur un de ces deux sous-r�seaux (adresse > 194.206.234.233) et eth1 sur le deuxi�me (adresse > 212.234.150.8). Mon serveur web est sur 212.234.150.1, > mon serveur de mail sur ma machine linux et est > configur� volontairement sur 212.234.150.8. Je veux > que ces deux IPs soient visibles de l'ext�rieur, et je > compte filtrer les paquets transitant de > 194.206.234.233 vers 212.234.150.8 avec ipchains. > Probl�me: les paquets sortent > (212.234.150.8=>194.206.234.233) mais ne rentrent pas > (194.206.234.233=>212.234.150.8). J'avoue que je ne saisis pas tr�s bien la finalit� de ta configuration, ni ce que tu entends par "deux IP visibles de l'ext�rieur". Aucun de tes r�seaux n'est sur des plages d'adresses priv�es, ils sont donc visibles si ils sont rout�s. J'ai d� rater un truc. > Ca ne me semble pas �tre une configuration d�lirante, > tous les h�bergeurs webs doivent �tre configur�s ainsi > (?). Que me manque-t'il? Faut-il que je mette en place > un pont comme d�crit dans le FAQ? Pourquoi les paquets > ne passent-ils que dans un sens (je ne vois pas > comment la brave petite machine pourrait savoir quelle > IP est reli�e � l'ext�rieur vu que je ne lui ai pas > dit)? Typiquement, tu dois avoir une politique de rejet par d�faut (ce qui est bien) mais une r�gle qui manque pour laisser passer les paquets dans un sens. Je m'�tais heurt� � ce probl�me de la mani�re suivante sur un serveur mail: - J'autorisais les paquets de ma machine vers ou en provenance du port 25 (smtp) d'une machine distante - J'autorisais les paquets d'une machine distante vers mon port smtp R�sultat : je pouvais envoyer des mails mais je ne recevais rien. Qu'est-ce qui manque ? les paquets en provenance de mon port smtp. Les demandes de connexion �taient bien re�ues mais la r�ponse de mon serveur �tait arr�t�e par mon filtre => comme si le port �tait ferm� (du point de vue des autres machines, du moins). mets le d�compte des paquets � z�ro, lance quelques tests et liste les cha�nes pour voir quelles r�gles ont �t� appliqu�es, �a peut t'aider � situer le probl�me. Sinon, ne pas oublier que pour un paquet destin� � une autre machine, les trois cha�nes (input, forward, output) sont travers�es et que les trois doivent donc laisser passer le paquet. Si tu d�signes une interface dans une r�gle de la cha�ne forward, n'oublie pas qu'elle est consid�r�e comme l'interface de _sortie_ du paquet. J'ignore si je suis le seul dans ce cas, mais caract�riser un paquet dans la cha�ne forward par son interface d'entr�e a toujours �t� une tendance naturelle. Pour r�pondre � Fran�ois Boisson, je ne vois quant � moi pas de probl�me dans la configuration de tes interfaces : - eth0 sur un sous-r�seau de 6 adresses (masque 29) + adresse du sous-r�seau 194.206.234.232 + adresse de diffusion 194.206.234.239 - eth1 sur un sous-r�seau de 14 adresses (masque 28) + adresse du sous-r�seau 212.234.150.0 + adresse de diffusion 212.234.150.15 tout �a est ok par contre, v�rifie effectivement ton routage (mais je suppose que tout va bien sans le filtre ipchains, n'est-ce pas ?) > Celui qui me sort de l� aura droit � ma reconnaissance > �ternelle! On n'en demande pas tant... -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
