Re: problème réseau

To: liste Debian <debian-user-french@lists.debian.org>
Subject: Re: problème réseau
From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
Date: Fri, 05 Jan 2007 21:01:05 +0100
Message-id: <[🔎] 459EAE81.6090108@plouf.fr.eu.org>
In-reply-to: <[🔎] 459EA05D.3000004@wanadoo.fr>
References: <[🔎] 459E65DF.9070803@wanadoo.fr> <[🔎] 459E82D4.6030205@plouf.fr.eu.org> <[🔎] 459EA05D.3000004@wanadoo.fr>

pascal a écrit :


Oui oui ....je me suis très mal exprimé. Je parlais en fait de ping sur
les adresses des deux cartes ethernet. Je ne savais pas que tout passait
par lo.


Quand je disais que ce point était souvent mal compris. ;-)

lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1

Ce qui laisse penser que "lo" est active.

Oui, comme en témoigne le drapeau UP. Et configurée avec une adresse IP,ce qui assure qu'elle est liée à la pile IP (c'est peut-être implicitepour lo, mais pas pour une interface ethernet classique). Une interfaceréseau n'a pas forcément besoin d'avoir une adresse IP pour être liée àla pile IP, mais dans ce cas il faut vérifier qu'il existe un répertoireportant le nom de l'interface dans /proc/sys/net/ipv4/conf/.

Par "sans règle" j'entendais à la suite de :

           iptables -F INPUT
           iptables -F OUTPUT
           iptables -F FORWARD

Note : on peut remplacer ces trois commandes par "iptables -F" qui videtoutes les chaînes de la table 'filter'.

           iptables -P INPUT ACCEPT
           iptables -t nat -F

Les politiques par défaut des chaînes INPUT et FORWARD ne sont pasmodifiées. Donc si elles étaient à DROP elle le restent, ce qui bloquele trafic sortant et routé.

Je ne vois pas de règle autorisant le trafic sur lo en sortie.

J'ai oublié de dire que je ne voyais pas non plus de règle autorisant letrafic en sortie sur eth1, l'interface vers le LAN. Ça expliqueraitpourquoi la communication entre la machine et le LAN est impossible.

Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?


Bien vu !


Hé, on ne me la fait pas comme ça à moi. ;-)

Un petit détail concernant les règles de NAT source :

-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20

^^^

Je pense qu'il y a une petite erreur de frappe dans les adresses desoptions -s : 192.162 au lieu de 192.168.


Aussi, pourquoi ne pas créer une seule règle avec -s 192.168.2.0/24 ?

Si tu ne veux autoriser que ces deux postes à sortir, il vaut mieux lefaire dans les règles de filtrage plutôt que dans les règles de NAT.Ici, les paquets vont sortir sans être NATés et les réponses vont seperdre dans la nature si la Livebox n'a pas la route qui va bien pourles renvoyer vers la passerelle. D'ailleurs c'est ce qui devait sepasser à cause de l'erreur dans les règles SNAT.

Reply to:

Follow-Ups:
- Re: problème réseau
  - From: pascal <pascalgosse@wanadoo.fr>

References:
- problème réseau
  - From: pascal <pascalgosse@wanadoo.fr>
- Re: problème réseau
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: problème réseau
  - From: pascal <pascalgosse@wanadoo.fr>

Prev by Date: Re: problème réseau
Next by Date: Re: [Probleme mise en route speedtouch modem]
Previous by thread: Re: problème réseau
Next by thread: Re: problème réseau
Index(es):
- Date
- Thread