Bien le bonsoir

Je ne trouve rien à redire au script que tu présentes. clair et léger

Comment charges-tu les modules pour faire du nat? Ou, as-tu activé les options ad'hoc en recompilant ton noyau?

Poste le Wednesday 2 January 2008 21:35:19

Bonsoir et merçi pour ta réponse

En ce qui concerne les modules, j'ai fait un lsmod est ce suffisant pour répondre à ta question ?

Voici le résultat du lsmod : (j'ai juste conservé ce qui concerne le firewall)

ipt_MASQUERADE 3584 1
iptable_mangle 2944 0
iptable_nat 7044 1
ip_nat 16428 2 ipt_MASQUERADE,iptable_nat
ip_conntrack 47156 3 ipt_MASQUERADE,iptable_nat,ip_nat
nfnetlink 6680 2 ip_nat,ip_conntrack
iptable_filter 3200 1
ip_tables 12104 3 iptable_mangle,iptable_nat,iptable_filter
x_tables 12932 3 ipt_MASQUERADE,iptable_nat,ip_tables


Merçi d'avance

Sébastien

Poste le Wednesday 2 January 2008 21:40:22

Est-ce que tu redémarres ta passerelle ? Car alors, /proc/sys/net/ipv4/ip_forward ne reste pas à 1 ?

mieux vaut aller dans le fichier /etc/sysctl.conf, pour y décommenter les lignes ayant trait à l'ip_forwarding :

...
# Uncomment the next line to enable packet forwarding for IPv4
> #net.ipv4.conf.default.forwarding=1

# Uncomment the next line to enable packet forwarding for IPv6
#net.ipv6.conf.default.forwarding=1

de cette façon que tu redémarres ou qu'elle plante (à cause d'une panne électrique bien sûr) l'IPforwarding sera toujours activé.

Poste le Wednesday 2 January 2008 22:16:20

En fait le script que j'ai mis dans mon premier post est un script init.d lancé au démarrage du système donc l'option du forwarding était bien active :-)

En revanche, je l'ai configuré comme tu me l'as indiqué; c'est beaucoup plus efficace !

Sinon le problème persiste toujours :-/

Poste le Wednesday 2 January 2008 22:23:22

Tu n'as pas configuré ton interface de d'entrée/sortie de ta passerelle ?

iptables -A OUTPUT -o eth0 -s 81.220.96.206 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth0 -s 0.0.0.0/0 -d 81.220.96.206 -m state --state RELATED,ESTABLISHED -j ACCEPT

Poste le Wednesday 2 January 2008 23:02:24

Juste une question comme ca au passage, tu as bien mis 192.168.10.1 comme default gateway sur tes postes clients ?

Sinon oui tes regles sont claires, mais fausses.

iptables -F : Flush des regles filter
iptables -t nat -F : Flush des regles nat
iptables -t mangle -F : Flush des regles mangle

iptables -X : Encore du nettoyage

/* Bonne chose que de tout supprimer par defaut */
iptables -P INPUT DROP : DROP par defaut sur l'INPUT
iptables -P OUTPUT DROP : DROP par defaut sur l'OUTPUT
iptables -P FORWARD DROP : DROP par defaut sur le FORWARD

/*Initialisation des tables NAT, mais c'est deja les valeurs par defaut*/
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

/*Super, mais je vois pas pourquoi tu initialises avec les valeurs par defaut la table mangle, tu ne l'utilises pas*/
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

/*Ca c'est bon*/
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

/*Ok, tu laisses les gens de l'interne se connecter sur ta becane et sur tout les port, pourquoi pas */
iptables -A INPUT -i eth1_rename -j ACCEPT
iptables -A OUTPUT -o eth1_rename -j ACCEPT

/*Et maintenant ton NAT*/
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


Mais dans tout ca tu n'as fait que bloquer des flux, et tu n'as autorise aucun flux en FORWARD (donc pas comme NBaH viens de te demander, il se plante, car en plus ton adresse externe est dynamique)

Il te faut en plus

iptables -A FORWARD -j ACCEPT -i eth1_rename -o eth0
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Et si tu veux que ta passerelle puisse aussi sortir

iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Mais bon tout ouvrir n'est pas non plus un tres bonne chose.

Mais bon je viens de te taper ca en vitesse sans faire de test, Tu devrais utiliser des outils comme tcpdump afin de d'analyser tes problemes, ca pourrait vachement t'aider et te permettre de comprendre ce qu'il se passe.

Poste le Wednesday 2 January 2008 23:19:33

Mais oui, le FORWARD !!!
[v]Vous avez un nez? mais où ça?[/v]

Poste le Wednesday 2 January 2008 23:49:08

Hello,

Tout d'abord merçi beaucoup à vous deux pour vos réponses!

Je me doutais bien qu'il y avait quelque chose avec le forward mais ne sachant pas vraiment quoi j'ai préféré vous demander ;-)


Chromosome: J'ai bien ajouté les lignes suivantes dans ma configuration et ensuite ça passe bien :

iptables -A FORWARD -j ACCEPT -i eth1_rename -o eth0
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


J'avais trouver des tutos sur le net mais ils n'étaient pas assez approfondis pour adapter ma config, en revanche j'en ai trouvé d'autres qui me permettent d'avancer suite à vos conseils (nottament pour sécuriser le Forward puisque la tout est accepté sur l'interface eth1_rename).

Je vais essayer tout ça et je vous tiens informés.

Sébastien

Poste le Thursday 3 January 2008 17:07:48