Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside

Wed, 20 Jul 2016 02:38:26 -0700 

C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai branché 
un switch qui connecte mon serveur web et mon pc.
Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web 
était connecté derrière le Cisco avant de passer sur le switch...
Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... 
Je vais reprendre la configuration du Cisco à zéro et écraser la conf. 

      De : David Ponzone <[email protected]>
 À : Antoine Durant <[email protected]> 
Cc : Frnog-tech <[email protected]>
 Envoyé le : Mercredi 20 juillet 2016 11h25
 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
   
Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC 
qu’elle a pour l’autre est bien l’autre :)En clair, sur .10 vérifie que la MAC 
que tu as pour .33 est bien celle de .33, et pas un méchant qui se fait passer 
pour elle, et inversement.Vire toute règle de firewall/iptables/etc.. sur 
.33.Encore une fois, les paquets entre .10 et .33 ne passent normalement pas 
par le Cisco, sauf config tordue.Tu peux aussi mettre une ACL input sur 
l’interface LAN du Cisco, juste pour matcher les paquets venant de .33 vers .10 
(tu les acceptes, c’est juste pour voir si le compteur s’incrémente).
T’es sûr qu’il y a pas une subtilité dans la conf ?




Le 20 juil. 2016 à 11:07, Antoine Durant <[email protected]> a écrit :
>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis 
>172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car 
>non présent dans une règle ip nat
>.10 et .33 ont le Cisco comme route par défaut ?Oui
>Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping 
>passe avec les règles ou meme sans
>Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, 
>….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off
J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration 
archi simple...

   



  
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à