[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptable et masquerades

hendrickx guy wrote:
> bonjours
> je desespere !!!
> pas moyen d'avoir du net a partir d'un de mes pc derriere le routeur
> debian
> les client derrier eth3 (192.168.2.0) ne recoive rien en net ceux
> derriere eth0 et eth1(192.168.0.1 et 192.168.1.0) en ont eux 
Donc le /proc/sys/net/ipv4/ip_forward est bien à 1 ...


> le ping marche sans probleme vers 192.168.2.1 mais pas vers 192.168.01
Je présume que le 192.168.2.1 est bien le firewall. Donc on arrive à contacter
le firewall, mais pas à passer à la suite (pourtant le ip_forward est bien à 1 !)
Donc ca vient du routage ? Que donne la commande 'route' ?




> et surtout pas vers www.***.*
> voici la sortie de iptables -L (tout me semble correct mais ca marche
> pas) le pc client est hors de question il est bien configuré et marche
> tres bien si je lemet derriere un autre interface
> 
> debian:/home/guy# iptables -L
[couic !]
> Chain FORWARD (policy DROP)
> target     prot opt source               destination
> ACCEPT     all  --  192.168.1.0/24       192.168.0.0/24
> ACCEPT     all  --  192.168.2.0/24       192.168.0.0/24
> ACCEPT     all  --  192.168.0.0/24       192.168.1.0/24
> ACCEPT     all  --  192.168.2.0/24       192.168.1.0/24
> ACCEPT     all  --  192.168.0.0/24       192.168.2.0/24
> ACCEPT     all  --  192.168.1.0/24       192.168.2.0/24
> ACCEPT     all  --  192.168.0.0/24       anywhere
> ACCEPT     all  --  anywhere             192.168.0.0/24
> ACCEPT     all  --  192.168.1.0/24       anywhere
> ACCEPT     all  --  anywhere             192.168.1.0/24
> ACCEPT     all  --  192.168.2.0/24       anywhere
> ACCEPT     all  --  anywhere             192.168.2.0/24
> LOG        all  --  anywhere             192.168.0.0/24     LOG level
> warning
> DROP       all  --  anywhere             192.168.0.0/24
> LOG        all  --  anywhere             192.168.1.0/24     LOG level
> warning
> DROP       all  --  anywhere             192.168.1.0/24
> LOG        all  --  anywhere             192.168.2.0/24     LOG level
> warning
> DROP       all  --  anywhere             192.168.2.0/24
> LOG        all  --  anywhere             anywhere           LOG level
> warning
> DROP       all  --  anywhere             anywhere
> 
[couic !]

Ca à l'air bon pourtant...
Pour sortir sur le net, est-ce que tu n'aurais pas oublié le masquerading pour
le réseau 192.168.2.0/24 (voir table nat) ?

Sinon, quelque chose qui fausse peut-être le script est la présence du réseau
192.168.0.0/24. Les adresses privées en classe C vont de 192.168.1.* à 192.168.255.*
Bref, pas de 192.168.0.0. Donc je ne sais pas si c'est alors interprété comme un
réseau 192.168.0.0/24, ou comme une régle concernant toutes les adresses
192.168.*.* ... Quelqu'un peut m'éclairer ?


Sinon, pour avancer dans le problème, je te conseille  la démarche suivante :
1. Tout ouvrir et tester. Si ca marche :
2. Activer toutes les règles pour le réseau 192.168.0.0 (seulement du hook
FORWARD). Si ca marche :
3 Activer toutes les règles pour le réseau 192.168.2.0 (en plus de celles pour
le réseau 192.168.0.0).

Au fait un ping vers le 217.12.3.11 (yahoo) marche (test de la résolution de nom) ?

Ensuite tu renvoies un email pour dire où ca a coincé ... :)

Bonne soirée

Guillaume

-- 
Elève Mastaire en Systèmes de Télécommunications et Réseaux Informatiques
promo 2003 DESS STRI - Toulouse III
site web : http://lehmann.free.fr
tél : 05 61 73 19 95
Reply to: