Ainsi parla fifo55 <[EMAIL PROTECTED]>, le 18 mai de l'an de grâce 2004 :
> J'ai un fichier /etc/ppp/peers/adsl mais il n'y a rien dans adsl... il est
> vide...
> Faut qu'il y ait quelque chose ??? Si oui sous quelle forme ?? Comment ???
Pas forcément, c'est juste que je suis habitué à voir ma distrib' coller
les paramètres de la cnx là-dedans. Peut-être la tienne met-elle tout ça
dans /etc/ppp/options, ou dans un fichier obscur perdu au fond de
l'arborescence. Quoi qu'il en soit, si ta route par défaut est là, c'est
tout bon de ce côté.
> Pourquoi "l'install" ne le "remplit" pas ??? (j'en suis a ma 100 installe de
> la MNF !! :(
Tu es perséverant :-) Moi j'aurais déjà balancé mon clavier contre le
mur...
> Non, je veux juste que ma machine accede au dns de wanadoo et puisse sortir
> sur le net...
> That's all, folks ! C'est pourtant simple, mais ici dans la mnf ca a l'air
> bien complqiué...
>
> Actuellement un ping ou ssh sur une adresse net donne : "temporary failure
> in name resolution" ...
Bon, alors voyons côté pare-feu... je ne garantis pas la suite, vu que
la config' est longue comme un jour sans pain, mais voilà ce que je
pense :
* tout d'abord, on a bien des autorisations pour les ports DNS, dans la
chaîne 'fw2wan', ce qui paraît tout à fait logique :
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0
state NEW tcp dpt:53
0 0 ACCEPT udp -- * * 0.0.0.0/0 0.0.0.0/0
state NEW udp dpt:53
* en revanche (et je pense que c'est ici que le bât blesse), cette
chaîne n'est *pas* réferencée dans OUTPUT. Celle-ci contient des
règles ACCEPT, mais apparemment insuffisantes :
- une pour l'interface de bouclage locale -- sans intérêt.
- une pour de l'ICMP. Ça pourrait permettre de faire au moins un ping
pour tester si ça passe, mais... (voir plus bas)
- une référence à la chaîne fw2lan, qui ne concerne que les
transmissions sortant à travers eth0
- une référence à la chaîne common, laquelle contient elle-même une
référence à la chaine icmpdef (qui est vide ? ! ?) et deux ACCEPT
pour les paquets RST et ACK (je suppose qu'il y a une bonne raison à
tout ça), le reste étant des interdictions
- et puis c'est tout pour les autorisations de sortie
* Quant à la chaîne INPUT, euh...
- la règle pour l'interface de bouclage
- une chaîne pour ce qui entre par eth0
- la chaîne common
- et... et c'est tout
Et là, y a un couac quelque part. Parce que, soit j'ai loupé un
épisode, soit cette machine risque de recevoir (et même d'émettre)
bien peu de paquets avec une conf' pareille. Même les pings ne
passeraient pas au retour.
Bon, alors que faire ? Ben, premièrement, tenter de rajouter les deux
chaînes qui semblent logiques (fw2wan et wan2fw), de la manière
suivante :
iptables -I INPUT -i ppp0 -j wan2fw
iptables -I OUTPUT -j fw2wan -o ppp0
(note le -I au lieu du -A, afin d'insérer notre chaîne au-dessus des
règles REJECT finales)
Si la résolution des noms (par exemple un 'host www.google.com
193.252.19.3' ne se fait toujours pas, il faut investiguer plus loin ;
ton pare-feu a des règles LOG, donc tu devrais voir apparaître les
paquets rejetés dans /var/log/syslog, ça peut aider à comprendre ce qui
se passe.
Si en revanche ça marche, il restera à faire en sorte qu'elles y
restent, et à savoir pourquoi elles n'y étaient pas à la base...
Voilà, sans garantie, et bonne chance pour la suite !
+++
--
Jacques Caruso | Administrateur système | Laissez-vous pousser
[EMAIL PROTECTED] | Webmaster, jeuxdroles.org | les dents. Ne marchez
(+33) 493 847 728 | Membre des Minotaures du Sud | pas sur les opossums.
PGP : 0x41F5C63D | Membre de Linux-Azur | Mangez des kiwis.
Linux-Azur : http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
**** Pas de message au format HTML, SVP ****
