[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: A l'aide, probleme iptables ou nfs?



Ainsi parla laforest.michel@free.fr le 361ème jour de l'an 2003:

> Par contre, ce que je ne comprends pas, c'est que même si je fais
> /etc/init.d/iptables stop sur machun, ça ne change rien !

Normal: ça bloque tout les accès. c'est /etc/init.d/iptables clear pour
tout ouvrir, et dans ce cas le forwarding est désactivé.

> A savoir, je suis sous debian woody.
> Ah si, je pense à une chose, j'ai fait une mise à jour de woody sur 
> machdeux, mais par sur machun puisque je n'arrive pas à me connecter
> de cette machine, donc sur machun il y a debian woody 3.0 r0 (je
> crois) alors qu'il y a la derniere mise à jour de woody sur machdeux,
> peut-être est-ce la cause? mais dans ce cas, comment résoudre ce
> problème, vu que je n'arrive toujours pas à me connecter depuis
> machun? A signaler que ça devient urgent (surtout cette histoire de
> nfs).
> 
> Je vous mets à la suite mes règles iptables, si quelqu'un peut
> m'expliquer ce qui merde, et en quoi, car ça montre que je n'ai pas
> tout saisi.
> 
> Merci 
> 
> Michel
> 
> Règles iptables :
> 
> #!/bin/bash
> #Effacement tables
> echo 0 > /proc/net/ipv4/ip_forward
> iptables -t filter -F
> iptables -t filter -X
> iptables -t nat -F
> iptables -t nat -X
> #
> #Fermeture totale
> iptables -t filter -P INPUT DROP
> iptables -t filter -P OUTPUT DROP
> iptables -t filter -P FORWARD DROP
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
> iptables -t nat -P OUTPUT ACCEPT
> #
> #Ouverture localhost
> iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
> iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
> #
> #Ouverture reseau local
> iptables -t filter -A OUTPUT -o eth0 -s 192.168.5.0/2 -d 192.168.5.0/2
> -j ACCEPT
> iptables -t filter -A INPUT -i eth0 -s 192.168.5.0/2 -d 192.168.5.0/2
> -j ACCEPT

Heu, tu voulais pas mettre 192.168.5.0/24 par hasard ? Ça n'a
probablement rien à voir avec ton pb, mais le réseau définit est un poil
large, là (et pas trop classe C) ...

> #Masquage d'adresse
> iptables -t nat -A POSTROUTING -s 192.168.5.1 -o eth1 -j MASQUERADE
> #La ligne qui précède, je me demande si c'est pas une connerie, 
> #vu que c'est la premiere machine ? 

exact, t'en a pas besoin, vu que dans ton cas machun va acter comme une
passerelle.

> iptables -t nat -A POSTROUTING -s 192.168.5.2 -o eth1 -j MASQUERADE
> #
> #C'est parti pour internet:
> iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.5.1 -d
> 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
> #Ligne précedente: La aussi je m'interroge...
> iptables -t filter -A FORWARD -i eth0 -o eth1 -s 192.168.5.1 -d
> 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
> iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d
> 192.168.5.1 -m state -- ESTABLISHED,RELATED -j ACCEPT
> #Même habituel questionnement pour la précédente

Même réponse..

> iptables -t filter -A FORWARD -i eth1 -o eth0 -s 0.0.0.0/0 -d
> 192.168.5.2 -m state -- ESTABLISHED,RELATED -j ACCEPT

Question pour la liste: 0.0.0.0/0 représente toutes les adresses ? dans
ce cas, est-ce nécessaire de le préciser ?

> echo 1 > /proc/sys/net/ipv4/ip_forward
> 
> Voilà. J'explique ce qui me pose question, peut-être pourra-t'on 
> m'expliquer en quoi mon résonnement est erroné (ou bon, ça m'arrive
> des fois)
> Je prends les 2 dernieres lignes qui m'intrigue (celle avec
> 192.168.5.1) Cette adresse ip est celle de la premiere machine sur la
> carte eth0; or, ce qui arrive par la freebox entre par eth1, mais n'a
> pas de raison de passer par eth0, donc par l'adresse ip 192.168.5.1
> (?), donc cette ligne ne sert à rien, et dans ce cas, je n'ouvre pas
> d'autorisation pour ma premiere machine, non ?

?

(bon, je sais, il est tard ;) )

> Mais si le probleme est là, comment faire pour ouvrir une autorisation
> de passage pour ma premiere machine, par son adresse ip internet?
> (c'est à dire celle d'eth1?)

A priori c'est bon (en particulier si tu peux la pinguer, t'après ta
config).

> Mais le probleme, c'est que ça n'explique pas l'impossibilité pour la 
> deuxieme machine de monter la partition nfs de la premiere machine.

Je pencherais plutôt pour un pb de config NFS. Peut pas t'aider, j'ai
opté pour samba (ça marche plutôt bien).

-- 
  .,p**"*=b_   Nicolas Rueff
 ?P"  .__ `*b   Montbéliard  -  France
|P  .d?'`&, 9|   http://rueff.tuxfamily.org
M:  |}   |- H'   n.rueff@free.fr
&|  `#?_._oH'   +33 6 77 64 44 80
`H.   "`"`'   GPG 0xDD44DAB4
 `#?.	    ICQ 97700474
   `^~.

We are Penguin. Resistance is futile. You will be assimilated.

Attachment: pgpiHFW7M9enp.pgp
Description: PGP signature


Reply to: