As-tu activer l'ip forwarding sur ton firewall ?
echo "1" > /proc/sys/net/ipv4/ip_forward
Car tu parles de ip forwarding sur la "carte".
Sinon regarde que ton router ai bien une route pour les paquets de retour.
Une route du genre
route add -net 192.168.0.0/24 gw 192.168.1.1 (le 1.1 c'est je suppose vu que ton router a le .10)

Poste le Sunday 9 October 2005 21:14:21

Oui l ip forwarding est active sur le firewall, j ai ait un cat dessus c est sur 1.Sinon pour ce qui est du router, ce n est pas une machine Linux, c est juste un router materiel avec quelque basic configuration.La seule chose que je peu specifier dessus est l adresse de l interface cote lan pour qu il communique avec le firewall.
Mais les paquets doivent trouver leur chemin de retour puisque j arrive a pinger internet de mon gateway,c est juste du lan que ca marche pas.
Donc je sais pas je pensais avoir mis la bonne route mais on dirais qu il ne veu pas envoyer sur le router les paquets provenant du LAN.
De plus j ai un proxy sur le firewall et j arrive a me connecter a internet en utilisant le proxy car c est lui ki etabli la connection sur mon firewall, donc les paquets trouvent le chemin de retour.Mais pourquoi internet ne marche pas quand ca vien du lan?

netstat -rn sur le gateway
destination Gateway Genmask Flags MSS Window irtt Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.0.9 0.0.0.0 UG 0 0 0 eth0

Poste le Monday 10 October 2005 09:32:20

Bon je ne comprends toujours pas, en installant ipmasq, ca marche,mais bon, je ne veu pa ce paquet, j ai regarde il na rien change a la table de routage.Juste des regles dans iptables.
Mais quand je faisais mes tests iptables n etait pas active.J aimerais comprendre ce que ce paquet a fait car je ne le veu pas.Et pourquoi le forwarding ne marchai pas sans iptables.

Poste le Monday 10 October 2005 09:43:08

Attention, c'est pas parce que tu peux pinger internet de ton firewall que le router route bien les paquets.

N'oublie pas que tu as 2 LAN, 1 entre le router et le firewall (counnu par le router) et un se trouvant derriere ton firewall (pas connu par le router)

Quand tu ping internet depuis ton firewall il va utiliser comme adresse source l'adresse cote lan router. Et donc le router peut te retourner les paquets reponse.
Mais quand tu ping depuis ton lan interne, quand les paquets reviennent ton router ne sais qu'en faire, car il ne sait pas que ce range IP se trouve derriere ton firewall.
Et evidement quand tu fais du MASQUERADE ca marche, car dans ce cas les paquets de ton LAN interne sont natte avec l'adresse externe de ton firewall (cad l'adresse cote router)

Tu DOIS mettre une route sur ton router, ou alors tu fais du NAT, mais tu n'as pas d'autre choix.

Poste le Monday 10 October 2005 10:03:05

Merci tu m ai vraiment d une grande aide,je n ais pas le choix je suis oblige de faire du nat car sur mon router je suis obliger de mettre des adresse qui font partie du meme reseau que lui.En fait si j ai bien compris ce que tu m explique, quand je fais un ping de mon lan, l adresse source utilisee est une adresse du lan,donc quand les paquets reviennent sur le router il voi en adresse source le lan, donc comme son interface interne ne fait pas partie du meme reseau, il ne sait pas ou les envoyer.
Est ce que si j avai une fonctionnalite dessus genre default gateway: l adresse de mon firewall, ca marcherai?

Il y a quelquechose que je ne comprends pas ds le nat:
il y a donc le dnat le snat et le masquerade.Le snat permet de changer l adresse source des paquets le dnat l adresse de destination des paquets et masquerade ca fait quoi exactement?
En fait si je faisais du snat sur mon firewall en mettant l adresse du firewall pour les paquets venant du lan ca marcherai?
Dans quel cas utilise t on le masquerade a la place du snat?
Desole pour pa nooberie.

Poste le Monday 10 October 2005 11:01:06

Citation
le nood
Est ce que si j avai une fonctionnalite dessus genre default gateway: l adresse de mon firewall, ca marcherai?

En theorie oui, mais pas dans ce cas, car tu as deja un default gateway vers internet, et 2 ca marche pas.
Du moins c'est pas "tres" standard. Windows le supporte, mais un mauvais comportement, parfios ca marche, parfois pas.

DNAT : Destination NAt, changement de l'adresse de destination
SNAT : Source NAT, changement de l'adresse source
MASQUERADE : Maquer, en fait le MASQUERADE est un SNAT, mais dans ce cas l'adresse de NAT n'est pas configurable, il utilise l'adresse de la carte reseau (contraiement a SNAT ou tu peux donner n'importe quoi comme adresse)

Et dans ton cas, le plus simple est le masquerade. Le SNAT c'est plus dans le cas ou par exemple tu as un range d'adresse IP et tu veux dire que le FTP se fait passer pour, et le WWW pour un autre, etc.

Poste le Monday 10 October 2005 11:15:07