Re: Re[1] Probleme TCP/IP
Le Sat, Mar 23, 2002 at 03:21:23PM +0100, François Lemaire écrivait :
> Je commence un peu à m'embrouiller moi-même et je ne
> sais pas trop si mon problème vient de la config de
> mes cartes réseuax, de mon noyau, de ipchains...
Ça me rappelle fortement mes propres démêlés avec ipchains...
> J'ai une LS (ligne spécialisée) qui arrive au bureau,
> avec un routeur CISCO. Je veux mettre en place un
> firewall derrière ce routeur, mais mes machines
> internes doivent être accessibles de l'extérieur, car
> j'ai des serveurs webs et SMTP dans le tas. Nous
> disposons de deux sous-réseaux IP différents
> utilisables sur internet. Donc je configure mon eth0
> sur un de ces deux sous-réseaux (adresse
> 194.206.234.233) et eth1 sur le deuxième (adresse
> 212.234.150.8). Mon serveur web est sur 212.234.150.1,
> mon serveur de mail sur ma machine linux et est
> configuré volontairement sur 212.234.150.8. Je veux
> que ces deux IPs soient visibles de l'extérieur, et je
> compte filtrer les paquets transitant de
> 194.206.234.233 vers 212.234.150.8 avec ipchains.
> Problème: les paquets sortent
> (212.234.150.8=>194.206.234.233) mais ne rentrent pas
> (194.206.234.233=>212.234.150.8).
J'avoue que je ne saisis pas très bien la finalité de ta configuration,
ni ce que tu entends par "deux IP visibles de l'extérieur". Aucun de tes
réseaux n'est sur des plages d'adresses privées, ils sont donc visibles
si ils sont routés. J'ai dû rater un truc.
> Ca ne me semble pas être une configuration délirante,
> tous les hébergeurs webs doivent être configurés ainsi
> (?). Que me manque-t'il? Faut-il que je mette en place
> un pont comme décrit dans le FAQ? Pourquoi les paquets
> ne passent-ils que dans un sens (je ne vois pas
> comment la brave petite machine pourrait savoir quelle
> IP est reliée à l'extérieur vu que je ne lui ai pas
> dit)?
Typiquement, tu dois avoir une politique de rejet par défaut (ce qui est
bien) mais une règle qui manque pour laisser passer les paquets dans un
sens. Je m'étais heurté à ce problème de la manière suivante sur un
serveur mail:
- J'autorisais les paquets de ma machine vers ou en provenance du port
25 (smtp) d'une machine distante
- J'autorisais les paquets d'une machine distante vers mon port smtp
Résultat : je pouvais envoyer des mails mais je ne recevais rien.
Qu'est-ce qui manque ? les paquets en provenance de mon port smtp.
Les demandes de connexion étaient bien reçues mais la réponse de mon
serveur était arrêtée par mon filtre => comme si le port était fermé (du
point de vue des autres machines, du moins).
mets le décompte des paquets à zéro, lance quelques tests et liste les
chaînes pour voir quelles règles ont été appliquées, ça peut t'aider à
situer le problème.
Sinon, ne pas oublier que pour un paquet destiné à une autre machine,
les trois chaînes (input, forward, output) sont traversées et que les
trois doivent donc laisser passer le paquet.
Si tu désignes une interface dans une règle de la chaîne forward, n'oublie
pas qu'elle est considérée comme l'interface de _sortie_ du paquet.
J'ignore si je suis le seul dans ce cas, mais caractériser un paquet
dans la chaîne forward par son interface d'entrée a toujours été une
tendance naturelle.
Pour répondre à François Boisson, je ne vois quant à moi pas de problème
dans la configuration de tes interfaces :
- eth0 sur un sous-réseau de 6 adresses (masque 29)
+ adresse du sous-réseau 194.206.234.232
+ adresse de diffusion 194.206.234.239
- eth1 sur un sous-réseau de 14 adresses (masque 28)
+ adresse du sous-réseau 212.234.150.0
+ adresse de diffusion 212.234.150.15
tout ça est ok
par contre, vérifie effectivement ton routage (mais je suppose que tout
va bien sans le filtre ipchains, n'est-ce pas ?)
> Celui qui me sort de là aura droit à ma reconnaissance
> éternelle!
On n'en demande pas tant...
--
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: