Re: pb : partage de connexion internet / iptables

[daniel huhardeaux <devel@tootai.net>]

Deja verifie que cat /proc/sys/net/ipv4/ip_forward donne 1

Si non, rajoute au debut de ton script iptables la sequence suivante

# Setting up Forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

Essaye deja en desactivant les regles firewall de IpTables en gardant 
juste le minimum (ip_forward=1, masquerade, toutes les autres regles en 
ACCEPT) Cela permettra deja de situer ton probleme plus precisement.

marcos wrote:

> Bonjour
>
> je voudrais de l'aide pour configurer mon reseau en vue de faire du
> partage de connexion internet entre un PC sous linux (Debian) et un 
> portable sous windows.
> Je n'y connais pas grand chose en reseaux, et je m'arrache les cheveux
> depuis qqs jours.
>
> Mon installation est composee de:
> PC1: pc de bureau sous linux (Debian Sid, ker 2.4.22) connecté a 
> internet (free ADSL avec freebox).
> PC2: portable sous Win XP pro connecte a PC1 par une liaison sans fil 
> wifi.
>
> la connexion de PC1 a l'internet se fait sans probleme (par dhcp), je
> peux surfer, envoyer/recevoir mes mails et tuti quanti...
>
> la connexion wifi entre PC1 et PC2 a l'air de marcher (j'arrive a
> "pinger" entre les deux, j'arrive meme à pinger le DNS du provider
> depuis PC2)
>
> Mais sur le porable (PC2), impossible de surfer sur le net depuis PC2
> (iexplorer ne trouve rien !).
>
> Voila pour le décor général.
> Pour les détails: j'ai essaye de construire la passerelle avec iptables
> (voir ci-dessous les règles de filtrage iptables que j'ai adoptées, en
> m'inspirant de divers didacticiels trouves en ligne).
> Vous trouverez aussi plus bas mon fichier /etc/network/interfaces et mes
> réglages reseau pour l'interface wifi de winXP sur le portable.
>
> Evidemment, s'il s'agit d'un pb de config winXP, je sais que ce n'est
> pas le lieu ici, mais je suis preneur pour toute suggestion.
>
> En ce qui concerne la config de Debian sur mon PC1, je dois avouer que
> je ne comprends pas grand chose à iptables, et le probleme vient
> surement de la.
>
> Quelqu'un a-t-il une config similaire ?
>
> Est-ce que quelqu'un peut m'aider ? ? ?
> Merci !
>
>
> voici des info sur ma config :
> ---------------------------------------------------------
> configuration des interfaces réseau sur le PC1 :
>
> #*****/etc/network/interfaces
>  # The loopback interface
>  auto lo
>  iface lo inet loopback
>         #démarrage et arrêt automatique des règles "iptables"
>         pre-up /etc/network/if-pre-up.d/iptables-start.sh
>         post-down /etc/network/if-post-down.d/iptables-stop.sh
>
>  # connexion internet via carte ethernet
>  auto eth0
>  iface eth0 inet dhcp
>
>  # usb wlan adapter netgear MA101(B)
>  auto eth1
>  iface eth1 inet static
>         address 192.168.0.1
>         network 192.168.0.0
>         netmask 255.255.255.0
>         broadcast 192.168.0.255
>         # activation de la fonction de forwarding IP au niveau du noyau
>         up echo "1" > /proc/sys/net/ipv4/ip_forward
> #****** fin /etc/network/interfaces
>
> -----------------------------------------------------------------
> Règles de filtrage iptables sur le PC1 (je n'y connais rien, j'utilise
> un script adapté d'une formation linux) :
>
> #****** /etc/network/if-pre-up.d/iptables-start.sh
> #!/bin/sh
> # Script qui démarre les règles de filtrage "iptables"
>
> # REMISE à ZERO des règles de filtrage
> iptables -F
> iptables -t nat -F
>
> # DEBUT des règles de FIREWALLING
>
> # DEBUT des politiques par défaut
>
> # Je veux que les connexions entrantes soient bloquées par défaut
> iptables -P INPUT DROP
>
> # Je veux que les connexions destinées à être forwardées
> # soient acceptées par défaut
> iptables -P FORWARD ACCEPT
>
> # Je veux que les connexions sortantes soient acceptées par défaut
> iptables -P OUTPUT ACCEPT
>
> # FIN des politiques par défaut
>
> # J'accepte les packets entrants relatifs à des connexions déjà établies
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>
> # J'autorise les connexions TCP entrantes sur le port 80
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
>
> # J'accepte le protocole ICMP (i.e. le "ping")
> iptables -A INPUT -p icmp -j ACCEPT
>
> # J'accepte le protocole IGMP (pour le multicast)
> iptables -A INPUT -p igmp -j ACCEPT
>
> # Pas de filtrage sur l'interface de "loopback"
> iptables -A INPUT -i lo -j ACCEPT
>
> # La règle par défaut pour la chaine INPUT devient "REJECT"
> # (il n'est pas possible de mettre REJECT comme politique par défaut)
> iptables -A INPUT -j REJECT
>
> # FIN des règles de FIREWALLING
>
> # DEBUT des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
>
> # Je veux que mon système fasse office de "serveur NAT"
> # (Remplaçez "eth0" par votre interface connectée à Internet)
> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>
> # FIN des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
>
> # DEBUT des règles de PORT FORWARDING
>
> # Je veux que les requêtes TCP reçues sur le port 80 soient forwardées
> # à la machine dont l'IP est 192.168.0.2 sur son port 80
> # (la réponse à la requête sera forwardée au client)
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
> 192.168.0.2:80
>
> # FIN des règles de PORT FORWARDING
> #****** fin /etc/network/if-pre-up.d/iptables-start.sh
>
> ------------------------------------------------------
> Quant a la configuration du portable sous winXP (PC2):
>
> Utiliser l'adresse IP suivante:
> adresse IP: 192.168.0.2
> masque de sous reseau: 255.255.255.0
> passerelle par defaut: 192.168.0.1
>
> Utiliser l'adresse de serveur DNS suivante:
> serveur DNS prefere: 212.27.32.176
> serveur DNS auxiliaire: 212.27.32.177


--
:  ______ ______ ______ ______ ______ __  daniel.huhardeaux@tootai.com
: /_____// __  // __  //_____// __  // / phone.: +48 32 285 5276
:  / /  / /_/ // /_/ /  / /  / /_/ // / fax....: +48 32 285 5276
: /_/  /_____//_____/  /_/  /_/ /_//_/ mobile..: +48 602 284 546