Le Mercredi 10 Mai 2006 13:14, Pascal Hambourg a écrit : > steve a écrit : > [...] > > > #tcpdump -i ath0 port 80 > > listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes > > 08:12:12.830823 IP portable.maison.mrs.54577 > dolibarr.maison.mrs.www: S > > 511354364:511354364(0) win 5840 <mss 1460,sackOK,timestamp 548769588 > > 0,nop,wscale 2> > > [...] > > Avec -n pour avoir les adresses et ports sous forme numérique c'est plus > parlant. On voit quand même que les paquets SYN arrivent, mais pas de > réponse. > > [...] > > >>Et aucun filtrage en INPUT ou OUTPUT sur ath0 ? > > > > si ! > > > > iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_NETWORK > > -p all -j ACCEPT > > iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP > > -p all -j ACCEPT > > Alors, j'imagine que : > LAN_INTERFACE=ath0 > LAN_IP=192.168.20.1 > LAN_NETWORK=192.168.20.0/24
Bravo -;) > > Bon ben voilà, je crois que c'est là. Trop restrictif : ces règles > bloquent le trafic entrant et sortant par ath0 si on utilise l'adresse > d'une autre interface. Or c'est justement ce qui se passe quand on veut > accéder à 192.168.2.2 depuis 192.168.20.0/24. Donc soit tu supprimes la > condition portant sur $LAN_IP Bingo ! ça marche en virant le -d $LAN_IP de ces 2 conditions. > , soit tu ajoutes des règles similaires > pour les autres adresses locales auxquelles tu veux accéder par ath0 : > > iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s 192.168.2.2 \ > -d $LAN_NETWORK -p all -j ACCEPT > iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_NETWORK \ > -d 192.168.2.2 -p all -j ACCEPT > > > iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d > > $LAN_BROADCAST -p all -j ACCEPT > > Ce cas n'est pas déjà inclus dans la première régle (normalement > $LAN_BROADCAST=192.168.20.255 est inclus dans $LAN_NETWORK) ? oui effectivement. J'ai viré ces 2 règles. > > iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_BROADCAST -d > > $LAN_IP -p all -j ACCEPT > > Inutile voire dangereux : une adresse de broadcast n'est pas valide > comme adresse source. On doit répondre à un paquet broadcast par un > paquet unicast (ce qui trompe le suivi de connexion de Netfilter, > accessoirement). ok. Merci mille fois, j'ai pas mal appris d'iptables. J'avais piqué un scirpt sur le net en l'adaptant à ce que je croyais être mes besoins, mais ne pigeant pas le truc parfaitement, voilà ce qui arrive.. Très belle après-midi -- steve jabber : [EMAIL PROTECTED]