[RESOLU] Passerelle avec iptables

Support Debian
#1

Bonjour,

Encore moi et mon petit serveur…
j’essaye de faire une passerelle.
ce pc a deux interface :
eth0 : 192.168.1.254 (connecté à internet)
eth1 : 192.168.2.254 (connecté au LAN)

j’ai utilisé le tutorial, dans un premier temps ici : http://formation-debian.via.ecp.fr/apo.html

je l’ai suivi scrupuleusement.

mais depuis mon portable que j’ai mis sur un switch sur le lan (192.168.2.50), je n’ai pas internet.
je ne fait que pinguer eth1 (192.168.2.254)

avez vous une piste vers laquelle je devrais chercher ?

ci-joint mon /etc/network/interfaces :

[code]# L’interface "loopback"
auto lo
iface lo inet loopback

L’interface “eth0” connectée à Internet

auto eth0
iface eth0 inet static
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.1.255
network 192.168.1.0
gateway 192.168.1.1
dns-nameservers 192.168.1.1
ifconfig eth0 192.168.1.254

L’interface “eth1” connectée au réseau local

auto eth1
iface eth1 inet static
address 192.168.2.254
netmask 255.255.255.0
broadcast 192.168.2.255
network 192.168.2.0
ifconfig eth1 192.168.2.254

[/code]

y a t il des règles qui manquent dans le tutorial que je devrais mettre ? ou autre ?

merci d’avance.

#2

[code]# L’interface "loopback"
auto lo
iface lo inet loopback

L’interface “eth0” connectée à Internet

auto eth0
iface eth0 inet static
address 192.168.1.254
netmask 255.255.255.0
broadcast 192.168.1.255
network 192.168.1.0
gateway 192.168.1.1
dns-nameservers 192.168.1.1

L’interface “eth1” connectée au réseau local

auto eth1
iface eth1 inet static
address 192.168.2.254
netmask 255.255.255.0
broadcast 192.168.2.255
network 192.168.2.0
[/code]

les ifconfig sont inutiles. Le network aussi je pense.

#3

c’est ce que je m’étais dis également, mais dans le doute, j’ai préféré le mettre. et ça n’empêche pas de fonctionner correctement.

ce qu’il me manque c’est que l’internet passe de eth0 à eth1… etc…

merci d’avance.

#4

Donnes nous le résultat de :

iptables -L -v
sysctl -a 2>/dev/null | grep forward

La sortie de iptables c’est pour savoir si tu as autorisé les connexions à transiter au travers de la chaîne FORWARD, et la seconde pour savoir si tu as activé le forwarding au niveau du noyau.

#5

alors, voici les résultats des commandes

[quote=“thialme”]Donnes nous le résultat de :

iptables -L -v

[/quote]

[code]debianproxy:/home/fred# iptables -L -v
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
52 5759 ACCEPT 0 – lo any anywhere anywhere
3 168 ACCEPT icmp – any any anywhere anywhere
0 0 ACCEPT igmp – any any anywhere anywhere
384 309K ACCEPT 0 – any any anywhere anywhere state RELATED,ESTABLISHED
623 75099 REJECT 0 – any any anywhere anywhere reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 173 packets, 10522 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 522 packets, 119K bytes)
pkts bytes target prot opt in out source destination

Chain logNdrop (0 references)
pkts bytes target prot opt in out source destination
[/code]

[quote=“thialme”]Donnes nous le résultat de :


sysctl -a 2>/dev/null | grep forward

[/quote]

debianproxy:/home/fred# sysctl -a 2>/dev/null | grep forward net.ipv6.conf.eth1.forwarding = 0 net.ipv6.conf.default.forwarding = 0 net.ipv6.conf.all.forwarding = 0 net.ipv6.conf.eth0.forwarding = 0 net.ipv6.conf.lo.forwarding = 0 net.ipv4.conf.eth1.mc_forwarding = 0 net.ipv4.conf.eth1.forwarding = 1 net.ipv4.conf.eth0.mc_forwarding = 0 net.ipv4.conf.eth0.forwarding = 1 net.ipv4.conf.lo.mc_forwarding = 0 net.ipv4.conf.lo.forwarding = 1 net.ipv4.conf.default.mc_forwarding = 0 net.ipv4.conf.default.forwarding = 1 net.ipv4.conf.all.mc_forwarding = 0 net.ipv4.conf.all.forwarding = 1 net.ipv4.ip_forward = 1

voilà, j’espère que ça va t’aider à m’éclairer…

#6

Je dirais :

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.254

vu qu’il semble que des paquets transitent déjà en FORWARD, il faut s’assurer qu’ils reviennent.

Si cela n’est pas ça on poussera plus loin :p!

#7

Merci. ça a suffit.
maintenant qu’internet fonctionne, je vais me pencher sur les règles plus approfondies…

merci.