[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] iptables et ip aliasing

Le Mardi 9 Mai 2006 21:43, Pascal Hambourg a écrit :
> steve a écrit :
> >>>je n'arrive pas à pinger depuis 192.168.20.2 sur 192.168.2.2.
> >>
> >>Ça veut dire quoi exactement "je n'arrive pas" ? Il y a un message
> >>d'erreur ?
> >
> > non. je pingue et il ne se passe rien, à part que si je pingue sur
> > dolibarr.maison.mrs, il me trouve la bonne IP:
> >
> > ping dolibarr.maison.mrs
> > PING dolibarr.maison.mrs (192.168.2.2) 56(84) bytes of data.
> >
> > et nada. ça ne passe pas.
>
> Et un traceroute ?

un traceroute donne :

traceroute to dolibarr.maison.mrs (192.168.2.2), 30 hops max, 40 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *

etc...

>
> >>La machine ayant l'adresse 192.168.20.2 a-t-elle une route explicite ou
> >>par défaut pour joindre 192.168.2.2 ?
> >
> > non. la route par défaut passe par 192.168.20.1 puis par eth0
> > (192.168.1.34) puis vers le net via le modem en 192.168.1.1, mais rien
> > vers le réseau 192.168.2.0.
>
> Pas besoin de route spécifique, la route par défaut via 192.168.20.1 est
> suffisante puisqu'elle conduit à la bonne machine (192.168.20.1 et
> 192.168.2.2, c'est la même machine).


oui.

> Donc a priori j'écarte un problème 
> de routage. Un petit tcpdump sur ath0 quand même pour vérifier que les
> paquets arrivent, et éventuellement si un réponse repart.

#tcpdump -i ath0 port 80
listening on ath0, link-type EN10MB (Ethernet), capture size 96 bytes
08:12:12.830823 IP portable.maison.mrs.54577 > dolibarr.maison.mrs.www: S 
511354364:511354364(0) win 5840 <mss 1460,sackOK,timestamp 548769588 
0,nop,wscale 2>
08:12:15.830498 IP portable.maison.mrs.54577 > dolibarr.maison.mrs.www: S 
511354364:511354364(0) win 5840 <mss 1460,sackOK,timestamp 548772588 
0,nop,wscale 2>
08:12:21.830050 IP portable.maison.mrs.54577 > dolibarr.maison.mrs.www: S 
511354364:511354364(0) win 5840 <mss 1460,sackOK,timestamp 548778588 
0,nop,wscale 2>
08:12:33.829218 IP portable.maison.mrs.54577 > dolibarr.maison.mrs.www: S 
511354364:511354364(0) win 5840 <mss 1460,sackOK,timestamp 548790588 
0,nop,wscale 2>

et rien d'autre

> >>Y a-t-il du filtrage IP sur les machines ?
> >
> > Il y a des règles iptables pour bloquer l'accès depuis le net, que
> > j'ouvre au cas par cas si besoin est.
>
> Et aucun filtrage en INPUT ou OUTPUT sur ath0 ?

si !

iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_NETWORK -p 
all -j ACCEPT
iptables -t filter -A INPUT  -i $LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP -p 
all -j ACCEPT

iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_BROADCAST -p 
all -j ACCEPT
iptables -t filter -A INPUT  -i $LAN_INTERFACE -s $LAN_BROADCAST -d $LAN_IP -p 
all -j ACCEPT

avec les variables remplacées par ce qu'on imagine ;-)

> [...]
>
> >>Tu n'as pas besoin de "forwarder" des paquets d'une interface à une
> >>autre.
> >
> > c'est bien ce qui se passe quand on fait
> >
> > echo 1 > /proc/sys/net/ipv4/ip_forward
>
> Oui. Ou "sysctl -w net.ipv4.ip_forward=1" (plus joli).

jamais réussi à me souvenir de cette manière-là... 

> > alors pourquoi ça ne marche pas dans mon cas ? est-ce dû au
> > virtualhosting par IP de Apache ?
>
> A priori non puisque l'accès aux deux sites fonctionne en local. A moins
> que tu aies mis des restrictions d'accès dans la configuration d'Apache
> sur le vhost dolibarr.maison.mrs. Mais dans ce cas tu aurais une réponse
> du genre "500 Forbidden".

non, aucune réponse de ce style-là.

> > des règles iptables mal foutues ?
>
> Possible, il faut éplucher les règles INPUT et OUTPUT qui concernent
> ath0 ou toutes les interfaces.

c'est que j'ai fait hier, après avoir épluché la doc d'iptables sur le Net. 
Pour ce qui concerne aujourd'hui, je vais me remettre la config d'origine 
(une machine sur la branche 192.168.2.0) et foutre le tout en DMZ, avec port 
forwarding et tout. J'espère que ce sera plus clair ainsi.

> Si je résume, depuis 192.168.20.x :
> - accès internet possible

oui

> - ping 192.168.20.1 obtient une réponse

oui

> - ping 192.168.2.2 n'obtient pas de réponse ?

oui, et quelques cheveux de moins pour moi..

merci encore !

-- 
steve
jabber : sdl@jabber.org
Reply to: