Comme ca je ne vois pas d'erreur, mais peux-tu pour essayer supprimer le '-o hsb0' de ta commande NAT ?
Sinon peux-tu faire un tcpdump sur l'interface eth0 et ensuite la meme chose sur l'autre et voir comment passe les paquets venant du Windows ?

Poste le Tuesday 9 January 2007 13:52:39

J'ai enlevé "-o hsb0" dans la commande iptables : du coup, Linux n'a plus accès
a Internet. Donc cette commande doit, quelquepart, servir a Firefox,
donc marche arriere!!
J'ai aussi essayé tcpdump eth0, puis tenté un acces Internet sur XP :
j'ai eu un wagon de messsages, dans le tas, ce qui me parais important est :
(uboat etant Linux, Roger etant XP )
roger.1025 > ns1.club-internet.fr.domain: 19399+ A? www.google.com. (32)
uboat > roger : icmp: ns1.club-internet.fr udp port domain is unreachable
[tos 0xc0]
roger.1025 > ns2.club-internet.fr.domain: 19399+ A? www.google.com. (32)
uboat > roger : icmp: ns2.club-internet.fr udp port domain is unreachable
[tos 0xc0]

Si je comprend bien, eth0 recois bien la requete, mais on ne sais pas la router vers hsb0
Je pense que c'est encore un pb iptables mais je ne vois pas comment faire.
Je continue de chercher; si tu a une idée, je suis preneur!!

Poste le Thursday 11 January 2007 00:15:10

Tu dis

Citation
PhB
J'ai enlevé "-o hsb0" dans la commande iptables : du coup, Linux n'a plus accès
a Internet

Mais c'est pas possible ca !!! dans ton explication en haut, c'est ta machine Linux qui a une pate sur Internet, donc elle n'utilise pas cette regle de NAT. Ta machine Linux doit avoir une route par defaut vers internet, et donc cette machine utilisera l'IP qu'elle a sur l'interface hsb0.
La regle de NAT n'est la que pour permettre au machine Windows a acceder aussi a Internet.

Maintenant tu devrais filtrer tes requetes dans tcpdump, et donc tape les commande suivantes :

tcpdump -n -i eth0 icmp (sur la machine linux)
ping 194.7.1.4 (sur la machine windows)
Post les logs,
ensuite tu fais
tcpdump -n -i hsb0 icmp (sur la machine linux)
ping 194.7.1.4 (sur la machine windows)

Poste le Thursday 11 January 2007 08:02:27

Sauf si sa route est définie sur hsb0...
Du coup il se nat...

Software is like sex !
It's better when it's Free !

Poste le Thursday 11 January 2007 20:05:57

Citation
lolotux
Sauf si sa route est définie sur hsb0...
Du coup il se nat...

Software is like sex !
It's better when it's Free !

Que veux-tu dire par la ?

La machine Linux (qui fait office de NAT pour le client Windows) ne se natte pas. Elle doit simplement utilisee son interface qui est definie dans sa default gateway, et dans ce cas pas de NAT, mais simplement l'usage de l'adresse publique que l'interface hsb0 a recu de son provider internet.

Poste le Thursday 11 January 2007 20:46:07

Je comprends, je me suis mal exprimé... :-/
Sauf si sa route par défaut est définie sur une interface réseau autre que hsb0

Software is like sex !
It's better when it's Free !

Poste le Thursday 11 January 2007 22:39:47

Effectivement, mais alors meme avec le NAT ca ne pouvais pas fonctionner, car le paquet n'aurait jamais ete route vers l'interface hsb0. (donc pas de POSTROUTING vers hsb0)

Poste le Thursday 11 January 2007 22:55:10

J'ai fait les 2 tests tcpdump, voila le resultat :

[root@uboat root]# tcpdump -n -i eth0 icmp
tcpdump: listening on eth0
23:31:41.327805 192.168.0.29 > 194.7.1.4: icmp: echo request
23:31:41.419560 194.7.1.4 > 192.168.0.29: icmp: echo reply
23:31:42.329723 192.168.0.29 > 194.7.1.4: icmp: echo request
23:31:42.409615 194.7.1.4 > 192.168.0.29: icmp: echo reply
23:31:43.329688 192.168.0.29 > 194.7.1.4: icmp: echo request
23:31:43.409539 194.7.1.4 > 192.168.0.29: icmp: echo reply
23:31:44.329727 192.168.0.29 > 194.7.1.4: icmp: echo request
23:31:44.409541 194.7.1.4 > 192.168.0.29: icmp: echo reply


[root@uboat root]# tcpdump -n -i hsb0 icmp
tcpdump: listening on hsb0
23:36:23.843600 10.0.0.2 > 89.86.99.191: icmp: echo request
23:36:23.849554 89.86.99.191 > 10.0.0.2: icmp: echo reply
23:36:44.323883 10.0.0.2 > 89.86.99.191: icmp: echo request
23:36:44.329561 89.86.99.191 > 10.0.0.2: icmp: echo reply
23:36:49.703877 89.86.99.191 > 194.7.1.4: icmp: echo request
23:36:49.782907 194.7.1.4 > 89.86.99.191: icmp: echo reply
23:36:50.706672 89.86.99.191 > 194.7.1.4: icmp: echo request
23:36:50.785724 194.7.1.4 > 89.86.99.191: icmp: echo reply

Donc le ping a partir de XP passe bien mais pas les connexions internet
(j'essaie avec www.google.fr mais d'autres ne passent pas non plus)
J'en perds le peu de latin lu dans les pages roses!!!
En ce qui concerne iptables, j'avais juste enleve "-o hsb0" de la ligne
de commande dans rc.local et reboote : plus d'acces internet.
Je retabli rc.local, reboot : tout OK
C'est la seule modif que j'avais faite; quand je fais des tests, je ne
fais jamais plus d'une modif a la fois.
J'espere que les 2 tests ci dessus te donnerons des idees.
je continue mes recherches autour de iptables.

Poste le Friday 12 January 2007 00:15:44

Bon ben c'est simple, tu as un probleme de DNS. Quel DNS as-tu mis sur ta machine Windows ?

Poste le Friday 12 January 2007 20:21:48

C'est ecrit dans mon premier message :
194.117.200.10
194.117.200.15
Se sont les DNS de Club-internet.
Quand j'ai le test tcpdump sans filtre, dans le flot de sortie, il y avait
entre autre :
(uboat etant Linux, Roger etant XP )
roger.1025 > ns1.club-internet.fr.domain: 19399+ A? www.google.com. (32)
uboat > roger : icmp: ns1.club-internet.fr udp port domain is unreachable
[tos 0xc0]
roger.1025 > ns2.club-internet.fr.domain: 19399+ A? www.google.com. (32)
uboat > roger : icmp: ns2.club-internet.fr udp port domain is unreachable
[tos 0xc0]
J'interprete ca comme une requete correcte de XP demandant l'adresse IP de google
en donnant les DNS : ns1(2).club-internet.fr.
Linux semble ne pas savoir ou trouver ces DNS quand la demande arrive par etho
par contre sous Fire fox, il trouve.
ifconfig donne un resultat normal pour les 2 interfaces.
Je vais regarder ce qui se passe avec tracert du cote XP et ausssi les tables de
routage de Linux.

Poste le Friday 12 January 2007 21:34:49

Peux-tu me donner le resultat des commandes suivante :
iptables -L -n -v
iptables -L -n -t nat -v

Ce qu'il me faudrait c'est le resultat de ton premier tcpdump mais avec un "-n" car il fait la resoltion des noms et ca ne m'arrange pas pour comprendre ce qu'il fait.

Poste le Saturday 13 January 2007 17:10:34

Voila les resultats : (j'ai ajouyte lses sorties de ifconfig

*************************************************
[root@uboat root]# tcpdump -n
tcpdump: listening on eth0
22:56:16.935081 arp who-has 192.168.0.50 tell 192.168.0.29
22:56:16.935135 arp reply 192.168.0.50 is-at 0:e0:4c:e2:40:33
22:56:16.935249 192.168.0.29.1025 > 194.117.200.10.domain: 5577+ A? www.google.fr. (31)
22:56:16.935323 192.168.0.50 > 192.168.0.29: icmp: 194.117.200.10 udp port domain unreachable [tos 0xc0]
22:56:16.935453 192.168.0.29.1025 > 194.117.200.15.domain: 5577+ A? www.google.fr. (31)
22:56:16.935477 192.168.0.50 > 192.168.0.29: icmp: 194.117.200.15 udp port domain unreachable [tos 0xc0]
22:56:16.935892 192.168.0.29.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
22:56:17.684019 192.168.0.29.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
22:56:18.434575 192.168.0.29.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
22:56:21.931229 arp who-has 192.168.0.29 tell 192.168.0.50
22:56:21.931575 arp reply 192.168.0.29 is-at 0:f:b0:5a:b3:43
22:56:33.341050 192.168.0.29.netbios-dgm > 192.168.0.255.netbios-dgm: NBT UDP PACKET(138)
22:56:46.174893 192.168.0.27.netbios-ns > 192.168.0.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
22:56:46.175061 arp who-has 192.168.0.27 tell 192.168.0.1

14 packets received by filter
0 packets dropped by kernel
[root@uboat root]#

***********************************************************
[root@uboat root]# iptables -L -n -v
Chain INPUT (policy ACCEPT 81 packets, 12254 bytes)
pkts bytes target prot opt in out source destination
137 18294 RH-Lokkit-0-50-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
36 2316 RH-Lokkit-0-50-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 134 packets, 23550 bytes)
pkts bytes target prot opt in out source destination

Chain RH-Lokkit-0-50-INPUT (2 references)
pkts bytes target prot opt in out source destination
1 77 ACCEPT udp -- * * 194.117.200.10 0.0.0.0/0 udp spt:53 dpts:1025:65535
2 140 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
7 336 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:0:1023 flags:0x16/0x02 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:2049 flags:0x16/0x02 reject-with icmp-port-unreachable
82 7803 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:0:1023 reject-with icmp-port-unreachable
0 0 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:2049 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:6000:6009 flags:0x16/0x02 reject-with icmp-port-unreachable
0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:7100 flags:0x16/0x02 reject-with icmp-port-unreachable
[root@uboat root]#

******************************************************************
[root@uboat root]# iptables -L -n -t nat -v
Chain PREROUTING (policy ACCEPT 143 packets, 11726 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
3 181 MASQUERADE all -- * hsb0 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 3 packets, 181 bytes)
pkts bytes target prot opt in out source destination
[root@uboat root]#

***************************************************************
[root@uboat root]# ifconfig eth0
eth0 Lien encap:Ethernet HWaddr 00:E0:4C:E2:40:33
inet adr:192.168.0.50 Bcast:192.168.0.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:161 errors:0 dropped:0 overruns:0 frame:0
TX packets:56 errors:0 dropped:0 overruns:0 carrier:0
collisions:0
RX bytes:16176 (15.7 Kb) TX bytes:5061 (4.9 Kb)

[root@uboat root]# ifconfig hsb0
hsb0 Lien encap:Ethernet HWaddr 00:30:CD:00:06:81
inet adr:213.44.91.14 Bcast:255.255.255.255 Masque:255.255.255.0
UP BROADCAST NOTRAILERS RUNNING MULTICAST MTU:1500 Metric:1
RX packets:989 errors:0 dropped:0 overruns:0 frame:0
TX packets:980 errors:0 dropped:0 overruns:0 carrier:0
collisions:0
RX bytes:706687 (690.1 Kb) TX bytes:91699 (89.5 Kb)


Voila !! tout ca ne me dit pas grand chose, j'espere que ca t'en diras plus.
J'ai essaye de changer les DNS sous XP (entre pc XP, on met la passerelle
comme DNS) sans plus de succes.

Poste le Saturday 13 January 2007 23:35:53

Ben oui, tu nous avais cache quelque chose, ton firewall ne fait pas que du NAT !!!

Si tu regardes bien le resultat de la commande "iptables -L -n -v" tu verras que pas mal de packets repondent a la douce regle
82 7803 REJECT udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:0:1023 reject-with icmp-port-unreachable

et que, comme par hasard les regles des resolutions DNS rentre dans cette regle.

Tu vois ca la :
22:56:16.935249 192.168.0.29.1025 > 194.117.200.10.domain: 5577+ A? www.google.fr. (31)

Tu vois que 192.168.0.29 lance une requete sur 194.117.200.10 sur le port 53/udp (donc port de destination) et que la premiere regle de ton firewall n'autorise seulement l'inverse. (donc les paquets retours)

Et tu vas me dire pourquoi ca marche sur le Linux et pas le Windows et bien simplement car dans la regle OUTPUT tu ne filtres rien, donc tous les paquets sortant de ton Linux sont autorises, seul les reponses sont controlees. Mais tu appliques le meme controle pour la table FORWARD (donc les paquets venant de Windows)

Maintenant j'aimerais bien savoir ou tu as trouve ces regles de firewall !!!

Poste le Sunday 14 January 2007 09:39:16

Youpiiiiiiiiiiiiii !!!
Tu as mis de doigt dessus.
Comme je ne suis pas expert en iptables, je sais pas quoi modifier.
Donc j'ai pris le marteau-pilon :

iptables -F

Puis j'ai execute ma commande iptables habituelle.

ET CA MARCHE !!!! Mon p'tit Roger, y va sur le net.

Merci merci merci ....

Maintenant, derniere etape : je pense installer le firewall Firestarter.
C'est un des rares pour lequel j'ai trouve un rpm pour Redhat 9 et il y avais
pas mal de bonnes opinions.
Qu'en penses-tu ?

Poste le Sunday 14 January 2007 16:40:02