partage de connection Internet en DHCP : ping oui, Internet non [était : Requete dhcp avec freebox]

[Guillaume Duveau <guillaumeduveau@noos.fr>]

Salut,

> Ouais, c'est ça, le vase s'est cassé tout seul, c'est la faute du chat...
> ;o)

:-)
Je me disais un truc de ce genre en écrivant ça, n'empêche, je ne vois 
toujours pas ce que j'ai pu faire.

> Ça c'est ok pour moi. (Je n'ai pas de modem USB mais je suppose que le
> eth1 est en fait une émulation ethernet par le module USB idoine.)
>
> Je mets plus souvent le 'echo 1 ...' au début du script du firewall
> puisque l'on est obligé d'en avoir un.

j'ai essayé sans guillemets autour du 1...

> Je me demande si le if-pre-up.d n'est pas exécuté *avant* la ligne up de
> l'interface lo. Comme je le dis plus haut, j'ai l'habitude d'activer le
> forwarding avant le firewall. Est-ce parce que c'est obligatoire et que
> c'est ce qui coince chez toi ? À voir...

et j'ai essayé de mettre le forwarding en tête du script firewall (2ème 
ligne).

Le résultat est le même et est correct : dans 
/proc/sys/net/ipv4/ip_forward contient la valeur 1

Un problème de DHCP ? Je ne pense pas. D'abord un ping d'une machine 
vers l'autre et virse-versa fonctionne bien. Puis ça a marché (!) et je 
n'ai pas touché au serveur DHCP ni aux clients.

J'ai lu qu'il est déconseillé d'installer à la fois un serveur DHCP et 
un client sur la même machine. Ca aurait pû être ça, mais alors pourquoi 
ça aurait marché pendant un temps ?

Je résume :

* machine "fix" :
- connectée à Internet sur eth1 en client DHCP (dhcp3-client), via un 
modem branché en USB et une émulation ethernet effectivement
- disposant sur eth0 d'un serveur DHCP (dhcp3-server). eth0 est une 
vraie carte ethernet.

*machine "portgeri" :
- carte ethernet eth0 connectée à eth0 sur la machine "fix" par 
l'intermédiaire d'un câble réseau croisé
- ce n'est pas la config de cette machine qui est mauvaise ; avec 
Knoppix, idem : les pings passent mais pas le Net.

Peut-être un paquet en trop que j'aurais installé ?

Mes fichiers de config :

1) /etc/network/interfaces

auto lo
iface lo inet loopback
     #le 9/11/04 : IP forwarding dans le noyau
     up echo "1" > /proc/sys/net/ipv4/ip_forward

# INTERNET par modem USB Thomson
auto eth1
iface eth1 inet dhcp

# reseau local par carte Ethernet
auto eth0
iface eth0 inet static
     address 192.168.1.1
     netmask 255.255.255.0
     network 192.168.1.0
     broadcast 192.168.1.255

2) /etc/network/if-pre-up.d/iptables-start

#!/bin/sh

# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F

# DEBUT des "politiques par défaut"

# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"


# DEBUT des règles de filtrage

# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN
# (ce sont des flux UDP entrants sur le port 1234)
iptables -A INPUT -p udp --dport 1234 -j ACCEPT

# Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting
iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT

# FIN des règles de filtrage


# DEBUT des règles pour le partage de connexion (i.e. le NAT)

# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
# à Internet
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
#iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth0 
--clamp-mss-to-pmtu

# FIN des règles pour le partage de connexion (i.e. le NAT)


# DEBUT des règles de "port forwarding"
# FIN des règles de "port forwarding"

3) le DHCP : pas la peine, il marche...

Tout paraît normal ...?