[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RESOLU] Re: partager une connexion internet



Bayrouni a écrit :
[...]
Les résolutions DNS sur PC2 marchent ?
Que renvoie un 'traceroute -n' de PC2 vers une adresse IP extérieure ?

Peux-tu balancer, pour les deux PC, les sorties de :
ifconfig
route -n
iptables-save
cat /proc/sys/net/ipv4/ip_forward

C'est un accès internet par le câble ?
[...]
1/ ifconfig est configuré correctement (ip 192.168.0.10 mask 255.255.255.0 bcast 192.168.0.255)
ip est lié à l'adresse mac de PC2.

2/ route -n donne 0.0.0.0 192.168.0.1 0.0.0.0 ug 0 0 0 eth0

3/ iptables et comme je l'ai dit plus haut est désactivé afin de ne pas soupçonner une des règles du firewall sur le gateway je lance la commande suivante sur PC1 (gateway) iptables --table nat --append POSTROUTING -o eth0 --jump MASQUERADE (aucune erreur en retour).

4/ cat /proc/sys/net/ipv4/ip_forward  donne 1

5/ l'accès internet est effectivement via un modem-cable

J'espere avoir repondu aux questions

Je vais être franc, et peut-être un peu dur : non.
J'ai posé des questions simples et précises, j'attendais des réponses tout aussi simples et précises. J'attendais la sortie *complète* de *chaque* commande pour *chaque* machine, et pas des interprétations. Il suffisait de taper les commandes et recopier les réponses. Ici, tu ne réponds pas à toutes les questions et tu ne recopies qu'une partie des sorties. Comprenons-nous bien. Je fais ça pour aider. Ta configuration ne marche pas à cause d'un détail qui t'échappe. Par expérience, je sais que ce détail a de grandes chances d'être caché dans la sortie de ces commandes. Toi, tu ne sauras peut-être pas le voir, mais d'autres plus expérimentés le verront. Si le détail se trouve dans ce que tu n'as pas recopié, les autres ne pourront que deviner.

julien wrote:

et en ajoutant à tout ça un petit
iptables -A FORWARD -j ACCEPT

Bingo Julien.
Maintenant tout d'un coup mon partable reçoit des echo icmp pour une ip en dehors du reseau local.

Donc le détail significatif était dans la sortie de iptables-save sur PC1, que tu n'as pas donnée. Heureusement Julien a eu du nez.

Je suppose que la politique par défaut de la chaîne FORWARD était DROP (bloquer), donc une règle ACCEPT était nécessaire pour autoriser les paquets forwardés. Donc contrairement à ce que tu pensais, non seulement la table filter d'iptables n'était pas désactivée mais en plus elle n'était pas dans sa configuration par défaut avec toutes les politiques par défaut à ACCEPT.

Mais celà me pousse à poser une dernière question:
Le 1 dans  /proc/sys/net/ipv4/ip_forward  sert à quoi?
J'ajouterais meme le ip_forward=yes dans /etc/sysctl.conf ?

En fait il s'agit du même paramètre, auquel on accède soit via le système de fichiers virtuel /proc soit grâce à l'outil sysctl. Ce paramètre agit au niveau de la fonction routage de la pile IP et détermine le traitement des paquets reçus qui ne sont pas destinés à la machine. Si ip_forward vaut 1, ces paquets sont renvoyés via l'interface appropriée ; la machine se comporte en routeur. En revanche, si ip_forward vaut 0, ces paquets sont détruits ; la machine se comporte en simple hôte.

C'est complètement indépendant des règles iptables qui font du filtrage. Comme tout paquet "forwardé" traverse la chaîne FORWARD, il doit en plus être accepté par une règle de cette chaîne, ou à défaut par sa politique par défaut, pour ressortir. Si la politique par défaut de la chaîne FORWARD est ACCEPT, pas besoin de règle explicite. Si la politique par défaut est DROP, il faut une règle comme celle proposée par Julien.

Maintenant, tu peux affiner tes règles iptables pour éviter que ta passerelle reste ouverte à tous les vents.



Reply to: