Salut,
Ouais, c'est �a, le vase s'est cass� tout seul, c'est la faute du chat...
;o)
:-)
Je me disais un truc de ce genre en �crivant �a, n'emp�che, je ne vois
toujours pas ce que j'ai pu faire.
�a c'est ok pour moi. (Je n'ai pas de modem USB mais je suppose que le
eth1 est en fait une �mulation ethernet par le module USB idoine.)
Je mets plus souvent le 'echo 1 ...' au d�but du script du firewall
puisque l'on est oblig� d'en avoir un.
j'ai essay� sans guillemets autour du 1...
Je me demande si le if-pre-up.d n'est pas ex�cut� *avant* la ligne up de
l'interface lo. Comme je le dis plus haut, j'ai l'habitude d'activer le
forwarding avant le firewall. Est-ce parce que c'est obligatoire et que
c'est ce qui coince chez toi ? � voir...
et j'ai essay� de mettre le forwarding en t�te du script firewall (2�me
ligne).
Le r�sultat est le m�me et est correct : dans
/proc/sys/net/ipv4/ip_forward contient la valeur 1
Un probl�me de DHCP ? Je ne pense pas. D'abord un ping d'une machine
vers l'autre et virse-versa fonctionne bien. Puis �a a march� (!) et je
n'ai pas touch� au serveur DHCP ni aux clients.
J'ai lu qu'il est d�conseill� d'installer � la fois un serveur DHCP et
un client sur la m�me machine. Ca aurait p� �tre �a, mais alors pourquoi
�a aurait march� pendant un temps ?
Je r�sume :
* machine "fix" :
- connect�e � Internet sur eth1 en client DHCP (dhcp3-client), via un
modem branch� en USB et une �mulation ethernet effectivement
- disposant sur eth0 d'un serveur DHCP (dhcp3-server). eth0 est une
vraie carte ethernet.
*machine "portgeri" :
- carte ethernet eth0 connect�e � eth0 sur la machine "fix" par
l'interm�diaire d'un c�ble r�seau crois�
- ce n'est pas la config de cette machine qui est mauvaise ; avec
Knoppix, idem : les pings passent mais pas le Net.
Peut-�tre un paquet en trop que j'aurais install� ?
Mes fichiers de config :
1) /etc/network/interfaces
auto lo
iface lo inet loopback
#le 9/11/04 : IP forwarding dans le noyau
up echo "1" > /proc/sys/net/ipv4/ip_forward
# INTERNET par modem USB Thomson
auto eth1
iface eth1 inet dhcp
# reseau local par carte Ethernet
auto eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
2) /etc/network/if-pre-up.d/iptables-start
#!/bin/sh
# REMISE � ZERO des r�gles de filtrage
iptables -F
iptables -t nat -F
# DEBUT des "politiques par d�faut"
# Je veux que les connexions entrantes soient bloqu�es par d�faut
iptables -P INPUT DROP
# Je veux que les connexions destin�es � �tre forward�es
# soient accept�es par d�faut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient accept�es par d�faut
iptables -P OUTPUT ACCEPT
# FIN des "politiques par d�faut"
# DEBUT des r�gles de filtrage
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# J'accepte les packets entrants relatifs � des connexions d�j� �tablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# D�commentez la ligne suivante pour pouvoir re�evoir des flux VideoLAN
# (ce sont des flux UDP entrants sur le port 1234)
iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# D�commentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# La r�gle par d�faut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par d�faut)
iptables -A INPUT -j REJECT
# FIN des r�gles de filtrage
# DEBUT des r�gles pour le partage de connexion (i.e. le NAT)
# D�commentez la ligne suivante pour que le syst�me fasse office de
# "serveur NAT" et rempla�ez "eth0" par le nom de l'interface connect�e
# � Internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confront� au fameux probl�me du MTU. En r�sum�,
# le probl�me vient du fait que le MTU de la liaison entre votre
# fournisseur d'acc�s et le serveur NAT est un petit peu inf�rieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derri�re le NAT. Pour r�soudre ce probl�me, d�commentez la ligne
# suivante et rempla�ez "eth0" par le nom de l'interface connect�e �
# Internet.
#iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0
--clamp-mss-to-pmtu
# FIN des r�gles pour le partage de connexion (i.e. le NAT)
# DEBUT des r�gles de "port forwarding"
# FIN des r�gles de "port forwarding"
3) le DHCP : pas la peine, il marche...
Tout para�t normal ...?
