Iptable et Serveur NAT

D’où le DROP… non ?

quote=“PengouinPdt” Justement, les RFC, si je ne me trompe pas, disent que quand un serveur n’accepte pas une connexion, il se doit d’être poli et de dire qu’il la refuse.
DROPper en lieu et place de REJE©Ter peut signifie que l’on a quelque chose a caché.[/quote]
Ok, je ne le savais pas. Je le retiens d’ailleurs.

Par contre, dans le cas de Dolmen, on est sur un Poste utilisateur… Est-ce que cela s’applique de la même manière qu’un serveur (WEB, Proxy, …) ?

Et est-ce qu’un Firewall peut être assimilé à un serveur qui se doit de répondre ? Pcq du coup tout les constructeurs de Firewall ne respectent malheureusement pas cette RFC…

[quote=“PengouinPdt”]Quant au MASQUERADE, c’est la solution de facilité - qui dit facilité, dit qu’il existe une autre méthode. LE NAT : mais là faut maîtriser le concept, et cela peut être plus galère.
Intéressant pour cibler précisèment juste certaines redirections vers ip:port.
Autrement, si trop de redirections, ou pas nécessité de gèrer finement, MASQUERADE répond à ce besoin.[/quote]
Le SNAT fait exactement la même chose que le MASQUERADE… La seule différence c’est que le MASQUERADE va chercher l’adresse IP à chaque démarrage…
Et le SNAT ne complique pas les règles…

Enfin, bon… Si je me trompe , je suis preneur !!!

@Badaboumpanpan : Tiens je comprends mieux ta réflexion sur le DROP ; je viens de relire le premier post.
En effet, LA première règle en ENTRÉE est un DROP, de fait il n’a pas besoin de la dernière règle d’ENTRÉE qui rejette !

Bien vu !

Ensuite, pour info à Domen, toute règle qui FORWARD, DROP par défaut !

Pour MASQUERADE et (D|S]NAT :
Que les manpages sont de bonnes choses, encore plus quant ils sont en fr !
@Badaboumpanpan : Tu avais presque compris, et moi, très mal…

Autrement dit, SNAT et MASQUERADE sont la même chose … Là où SNAT est prévue pour gérer ip fixe, MASQUERADE est prévue pour gérer les connexions à ip changeantes !

Allez, bonus, en passant, sur ce point que je n’avais pas assimilé :

Si je comprends bien … si la règle REJECT ne correspond à aucun paquet, alors elle DROP la connexion !
Plop.

PS : Rohlalahhh, comment on pollue le post original …

Bonsoir,

Bon, je viens de faire cat /proc/sys/net/ipv4/ip_forward et le résultat est bien 1 par contre mon problème reste entier y compris avec ce que me suggérait Badaboumpanpan comme règles dans iptables-start

Je ne sais plus quoi faire…des idées ??

@+++

Ce que je te conseille de faire c’est de reprendre étape par étape pour voir là où ça bloque.

Enlève toute ta config iptables et mets ~# echo 0 > /proc/sys/net/ipv4/ip_forward

Redémarre.

Ensuite en ligne de commande directe ajoute :

~# echo 1 > /proc/sys/net/ipv4/ip_forward ~# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Fait un ~# iptables -L et vérifies bien que tes régles FORWARD, INPUT et OUTPUT sont bien sur ACCEPT, sinon rectifies le tire et remets les à ACCEPT.

~# iptables -P INPUT ACCEPT ~# iptables -P OUTPUT ACCEPT ~# iptables -P FORWARD ACCEPT

Vérifies alors si ça passe.

Si c’est le cas, ajoute (toujours en ligne de commande) :

~# iptables -P INPUT DROP ~# iptables -A INPUT -i lo -j ACCEPT ~# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Vérifies à nouveau. Etc…

Tiens, question idiote, que te donne un ifconfig ?

Bonjour à Tous,

Bon, afin de repartir d’une configuration certaine, j’ai réinstallé complètement Etch sur ma machine. Ainsi, nous sommes certain que rien ne traine pouvant nuire au partage de ma connexion Internet.
Suite à cette réinstallation, j’ai vérifié que ma connexion Internet sur eth0 fonctionnait…donc de ce point de vue tout va bien.

J’ai ensuite suivi vos conseils, à savoir ajouter en ligne de commande :

~# echo 1 > /proc/sys/net/ipv4/ip_forward ~# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
puis :

J’ai ainsi pu vérifier que les régles FORWARD, INPUT et OUTPUT étaient bien sur ACCEPT.
Encuite, toujours en ligne de commande :

~# iptables -P INPUT DROP ~# iptables -A INPUT -i lo -j ACCEPT ~# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
puis :

~# iptables -A INPUT -i lo -j ACCEPT ~# iptables -A INPUT -p icmp -j ACCEPT ~# iptables -A INPUT -p igmp -j ACCEPT ~# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Voilà, ensuite afin de connaitre les DNS de mon FAI Orange j’ai fait :

Bien évidemment mon client a été configuré de la façon suivante :

[quote]Adresse IP : 192.168.0.1
Masque : 255.255.255.0
Passerelle (celle de eth1 sur mon serveur) : 192.168.0.1
Serveur DNS : les 2 adresses DNS obtenues avec ma commande cat précédente
Serveur WINS : rien stipulé[/quote]
J’ai ensuite de mon Serveur pinger mon poste client, et de mon poste client pinger mon Serveur…tout fonctionne parfaitement.
Ensuite, de mon Serveur j’ai pinger une adresse IP Internet, pas de problème non plus.
Par contre, de mon poste client j’ai voulu pinger la même adresse IP Internet, et là retour à la case départ…rien de se passe. Je suis toujours bloqué

J’avoue ne plus comprendre, on a fait au plus simple, et pourtant mon partage ne fonctionne pas. Dois-je envisager un problème matériel (genre le Hub ou les cables)??

Bref, encore un petit coup de main

Merci.
@+

[quote=“Dolmen”]Adresse IP : 192.168.0.1
Masque : 255.255.255.0
Passerelle (celle de eth1 sur mon serveur) : 192.168.0.1
Serveur DNS : les 2 adresses DNS obtenues avec ma commande cat précédente
Serveur WINS : rien stipulé[/quote]

Deux adresses IP ne peuvent être identiques sur un même réseau.
Donc ton poste client, en fonction de ton masque de sous-réseau, doit avoir une adresse entre 192.168.0.2-192.168.0.254.
En aucun cas, elle ne peut avoir la même adresse que ta passerelle.

Si les ping ont pu répondre, c’est que chaque machine se répondait sur et à elle même, comme si tu faisais un ping sur l’interface loopback : 127.0.0.1.

Essaye déjà ça.

PS en ayant remplis les règles iptables à la main (en ligne de commande), si tu redémarre ta passerelle pense à les remettre à la main.
Et également pense à tester à chaque étape depuis ton poste client si ça passe ou pas…

Salut,

Merci pour la réponse rapide…MAIS j’ai fait une erreur dans mes explications, bien-sûr mon poste client avait l’adresse 192.168.0.2
Une autre idée?

Sinon, as-tu noté des erreurs dans les règles iptables que j’ai rentré? Penses-tu qu’il en manque ou bien qu’il y en a trop? Si c’est le plus simple et le moins sécurisé pour le moment, alors on fera mieux une fois que mon partage fonctionnera

@+++

Peux tu me donner ce que te donne ifconfig et iptable -L ?

Re,

Je regarde ça ce soir et le poste dès que je peux. Peux-tu me dire comment j’envoie le résultat de “ifconfig” et "iptables -L "dans un fichier, j’avoue ne pas avoir trouvé

Encore Merci du support.
@+++

bonsoir,

les deux créent le fichier si besoin:

ça écrase

ça ajoute …

[quote=“Dolmen”]Re,

Je regarde ça ce soir et le poste dès que je peux. Peux-tu me dire comment j’envoie le résultat de “ifconfig” dans un fichier, j’avoue ne pas avoir trouvé

Encore Merci du support.
@+++[/quote]

Connais-tu “Putty” et peux-tu te connecter à ton serveur directement avec Putty ?

01net
Putty

En tout cas pour ça il faut que tu installes ssh sur ta passerelle et que tu autorise l’accès à ssh:

puis

Normalement je reste connecté ce soir, alors n’hésite pas !

Re,

Donc, la même chose pour iptable -L avec :

Je ne connais pas “Putty”, mais je vais regarder.

Alors à ce soir

Ah oui, parce que l’intérêt de Putty c’est que tu peux sélectionner ce que tu vois à l’écran et le coller dans fichier depuis Windows.

Par contre si ton poste est sous Linux, tu n’auras pas besoin de Putty mais tu pourras te connecter directement à ton serveur, toujours en ssh, par la Console Terminal et faire également du copier/coller.

Re,

Mon poste est sous XP (pour le moment)…

@+++

et putty est un logiciel qui tourne sous XP, d’ailleurs.

Et sans problème sous Vista aussi…

Re,

Bon, le résultat de mes tests :

Pour ifconfig :

[quote]eth0 Lien encap:Ethernet HWaddr 00:E0:29:44:5B:B8
adr inet6: fe80::2e0:29ff:fe44:5bb8/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:55 errors:0 dropped:0 overruns:0 frame:0
TX packets:201 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:4931 (4.8 KiB) TX bytes:16115 (15.7 KiB)
Interruption:10 Adresse de base:0xb000

eth1 Lien encap:Ethernet HWaddr 00:E0:29:3D:BA:54
inet adr:192.168.0.1 Bcast:192.168.0.255 Masque:255.255.255.0
adr inet6: fe80::2e0:29ff:fe3d:ba54/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:224 errors:0 dropped:0 overruns:0 frame:0
TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:23035 (22.4 KiB) TX bytes:1336 (1.3 KiB)
Interruption:15 Adresse de base:0xa800

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

ppp0 Lien encap:Protocole Point-à-Point
inet adr:86.220.237.138 P-t-P:86.220.237.1 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:6 errors:0 dropped:0 overruns:0 frame:0
TX packets:146 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:3
RX bytes:1590 (1.5 KiB) TX bytes:10972 (10.7 KiB)[/quote]

et pour iptables -L :

[quote]Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 – anywhere anywhere
ACCEPT 0 – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp – anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination [/quote]

Voilà…en espérant que ça nous aide
@++

Ok. Essaye de changer ta règle MASQUERADE en mettant ppp0 au lieu de eth0.

puis

Re,

BIEN on progresse

J’arrive à me connecter sur le Net à partir de mon poste client mais que sur certains sites…du genre celui-ci ou celui de Google, mais pas sur celui de ma banque ni sur celui de Hotmail. L’IRC ne fonctionne pas non plus, ni MSN (sans doute parce que nous n’avons pas donner les autorisations avec les règles iptables).

On continue…
@++