Conversation
precedente ou
suivante
aide pour nat et iptables
Envoyé par:
aina
slt à tous,
un administrateur a installé un réseau avec connexion adsl ds notre immeuble et shui dedan, le réseau marche bien mais je veux apprendre à partager la connexion eth1 sur le réseau eth0. sur une prise RJ45 murale j'ai connecté un pc debian sarge 3.1 sur l'un de mes 2 cartes réseaux. Sur ce pc j'arrive à surfer sur internet.
voici le schéma:
eth1(192.168.100.2)-->debian<--eth0(192.168.1.2)---switch---pc1(windows:192.168.1.3),pc2 (windows:192.168.1.4)
les problèmes:
-j'arrive pas à connecter les pcs pc1,pc2 sur internet
-je ne sais pas kel dns utiliser, si besoin est.
-sur pc1, j'arrive à pinger les 2 interfaces réseaux de debian mais pas un ordinateur sur le réseau 192.168.100.0
voici les regles iptables que j'ai mis au demarrage pour le partage de connexion:
#iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o 192.168.100.210/255.255.255.0 -j MASQUERADE
#echo 1 > /proc/sys/nat/ipv4/ip_forward
faut-il installer un serveur dns sur debian pour que ça marche?
un peu d'aide ne serais pas de refus. merci bcp.
un administrateur a installé un réseau avec connexion adsl ds notre immeuble et shui dedan, le réseau marche bien mais je veux apprendre à partager la connexion eth1 sur le réseau eth0. sur une prise RJ45 murale j'ai connecté un pc debian sarge 3.1 sur l'un de mes 2 cartes réseaux. Sur ce pc j'arrive à surfer sur internet.
voici le schéma:
eth1(192.168.100.2)-->debian<--eth0(192.168.1.2)---switch---pc1(windows:192.168.1.3),pc2 (windows:192.168.1.4)
les problèmes:
-j'arrive pas à connecter les pcs pc1,pc2 sur internet
-je ne sais pas kel dns utiliser, si besoin est.
-sur pc1, j'arrive à pinger les 2 interfaces réseaux de debian mais pas un ordinateur sur le réseau 192.168.100.0
voici les regles iptables que j'ai mis au demarrage pour le partage de connexion:
#iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o 192.168.100.210/255.255.255.0 -j MASQUERADE
#echo 1 > /proc/sys/nat/ipv4/ip_forward
faut-il installer un serveur dns sur debian pour que ça marche?
un peu d'aide ne serais pas de refus. merci bcp.
Poste le Tuesday 5 August 2008 13:13:52
Re: aide pour nat et iptables
Envoyé par:
merlin
Salut,
[lea-linux.org]
@+
" La plus importante et la plus négligée de toutes les conversations, c'est l'entretien avec soi-même. "
Chancelier Oxenstiern.
[lea-linux.org]
@+
" La plus importante et la plus négligée de toutes les conversations, c'est l'entretien avec soi-même. "
Chancelier Oxenstiern.
Poste le Tuesday 5 August 2008 16:09:45
Re: aide pour nat et iptables
Envoyé par:
staré
Salut,
L'option -o pour un masquerade, je ne l'ai jamais vu.
Oui tu peux mettre un dns cache sur ta passerelle, mais ce ne sera qu'un cache des dns de ton fai.
Le plus simple reste d'indiquer les dns de ton fai donc.
De plus ces deux lignes ne suffisent pas pour avoir un nat transparent.
Voilà ce que je te propose :
# On bloque tout par défaut.
for CHAIN in INPUT OUTPUT FORWARD ; do
iptables -P $CHAIN DROP
done
# l'interface loopback, elle sert à la machine elle-même pour communiquer avec elle-même
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# tes deux règles sans l'option -o qui sert pas.
echo 1 > /proc/sys/nat/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
# On autorise la machine elle-même à sortir n'importe où. On peut limiter ça pour une passerelle aux dns, aux site http et/ou ftp de mise à jour de la distrib par exemple.
iptables -A INPUT -i eth1 -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth1 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Maintenant, on autorise le réseau derrière la passerelle à communiquer avec le reste du monde
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/24 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
Il n'y a aucune restrictions dans ces règles, les options -d et -s sont à priori encore de trop mais c'est pour montrer ce que iptables regarde dans l'entête d'un paquet.
Dans un dialogue, il y a une question et une réponse, c'est pourquoi j'ai découpé l'interrogation et la réponse en deux règles iptables.
Pareil, l'état related, n'est pas utilisé pour tout les protocoles, par exemple, pour l'http se n'est pas necessaire.
Ces règles là forment la base pour un nat, à toi de voir si tu souhaites rester aussi permissif ou au contraire renforcer ces règles.
Bonne chance
L'option -o pour un masquerade, je ne l'ai jamais vu.
Oui tu peux mettre un dns cache sur ta passerelle, mais ce ne sera qu'un cache des dns de ton fai.
Le plus simple reste d'indiquer les dns de ton fai donc.
De plus ces deux lignes ne suffisent pas pour avoir un nat transparent.
Voilà ce que je te propose :
# On bloque tout par défaut.
for CHAIN in INPUT OUTPUT FORWARD ; do
iptables -P $CHAIN DROP
done
# l'interface loopback, elle sert à la machine elle-même pour communiquer avec elle-même
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# tes deux règles sans l'option -o qui sert pas.
echo 1 > /proc/sys/nat/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
# On autorise la machine elle-même à sortir n'importe où. On peut limiter ça pour une passerelle aux dns, aux site http et/ou ftp de mise à jour de la distrib par exemple.
iptables -A INPUT -i eth1 -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth1 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Maintenant, on autorise le réseau derrière la passerelle à communiquer avec le reste du monde
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.0/24 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 0/0 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
Il n'y a aucune restrictions dans ces règles, les options -d et -s sont à priori encore de trop mais c'est pour montrer ce que iptables regarde dans l'entête d'un paquet.
Dans un dialogue, il y a une question et une réponse, c'est pourquoi j'ai découpé l'interrogation et la réponse en deux règles iptables.
Pareil, l'état related, n'est pas utilisé pour tout les protocoles, par exemple, pour l'http se n'est pas necessaire.
Ces règles là forment la base pour un nat, à toi de voir si tu souhaites rester aussi permissif ou au contraire renforcer ces règles.
Bonne chance
Poste le Tuesday 5 August 2008 16:10:02
Ce forum !
aide pour nat et iptables
Aide sur les distributions Debian, Ubuntu et leurs dérivées : Mepis, Mint, Knoppix, Kubuntu, Lubuntu, Xandros
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons