Re: Partage de connexion
Tonio F a écrit :
Merci à vous deux pour ces réponses expresses.
"Vous deux" ? Je ne vois que ma réponse.
Sur ma passerelle voici mon /etc/networl/interfaces :
[...]
auto lo
iface lo inet loopback
up echo "1" > /proc/sys/net/ipv4/ip_forward
En principe ce n'est pas le meilleur endroit pour ça, le forwarding IP
n'a rien à voir avec l'activation de l'interface de loopback.
[RAS pour le reste]
mes iptables :
#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
Là aussi, je me demande si c'est le meilleur endroit, si comme je le
suppose ce script est exécuté à chaque fois qu'une interface réseau est
activée via ifup.
[...]
iptables -P FORWARD ACCEPT
Et aucune règle dans la chaîne FORWARD dans ce qui suit, donc pas de
blocage à ce niveau.
[...]
# Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
# soit joignable de l'extérieur
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
Je garde ceci pour plus tard, voir plus bas.
[...]
# La règle par défaut pour la chaine INPUT devient "REJECT"
iptables -A INPUT -j REJECT
Certes REJECT est plus respectueux des RFC que DROP en général, mais pas
toujours. Ainsi les paquets vus dans l'état INVALID par le suivi de
connexion doivent être bloqués silencieusement et non rejetés avec un
message d'erreur. De même d'autres types de paquets inattendus ne
doivent pas donner lieu à l'envoi d'un message d'erreur (TCP reset,
messages d'erreur ICMP...) mais ceux-ci sont déjà correctement pris en
compte par REJECT.
Ceci dit, tout cela relève du perfectionnisme et ne gêne pas la
connectivité.
[...]
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -j SNAT
--to-source 10.0.0.8
Ça a l'air correct. On peut aussi écrire 192.168.0.0/24 en notation
CIDR, où 24 représente la taille du masque, le nombre de bits à 1.
[...]
Sur le client j'ai :
/etc/network/interfaces
[RAS]
[...]
mon /etc/resolv.conf :
nameserver 192.168.0.1
Je pressens un problème ici. Pour fonctionner cette ligne suppose que la
passerelle fait tourner un serveur DNS (Bind...) ou un relais DNS
(dnsmasq...), *et* que celui-ci est accessible depuis le client. Or la
"politique" INPUT par défaut est REJECT et les ports 53 TCP et UDP ne
sont pas ouverts côté eth1 (voir plus haut). Le plus simple est sûrement
d'utiliser le relais DNS du routeur 10.0.0.2, comme la passerelle.
[...]
Ce qui est étonnant c'est qu'aMule fonctionne mais en Low Id (donc c'est
juste un problème de port forwarding) je suis connecté à Skype, j'arrive à
recevoir des messages à en envoyer (à priori), mais impossible de me
connecter à aMsn...
Peut-être à cause du problème de résolution DNS soulevé plus haut.
Et concernant le web, ping, traceroute, par nom et par adresse IP ?
Reply to: