View previous topic :: View next topic |
Author |
Message |
Arcord Apprentice
Joined: 18 Nov 2002 Posts: 223 Location: Amiens (France)
|
Posted: Wed Mar 05, 2003 6:48 pm Post subject: Probleme de routage sur ma passerelle |
|
|
salut,
je voudrais utiliser la gentoo pour faire une passerelle internet.
J'ai donc un petit PC, sur lequel j'ai installé mon modem (eci usb).
Lorsque je lance la connection elle s'établie bien, et d'ailleurs un ping sur n'importe quel site permet de le vérifier.
J'ai activé le forwarding en tapant: echo "1" /proc/sys/net/ipv4/ip_forward
Mais je ne parviens pas à avoir internet sur les autres PC.
Pourtant en cherchant sur google, il semblerait que cette ligne suffise pour distribuer internet sur les PC du lan.
Une fois de plus, je fais appel à vous pour m'orienter. |
|
Back to top |
|
|
DuF Advocate
Joined: 09 Dec 2002 Posts: 2687 Location: Paris
|
Posted: Wed Mar 05, 2003 7:08 pm Post subject: |
|
|
Les autres PCs sont bien configurés pour accéder à ta passerelle et pour utiliser ta passerelle en tant que telle ? |
|
Back to top |
|
|
Arcord Apprentice
Joined: 18 Nov 2002 Posts: 223 Location: Amiens (France)
|
Posted: Wed Mar 05, 2003 7:12 pm Post subject: |
|
|
Tout à fait.
Habituellement ils ont accès via un PC sous Windows dont l'Ip est 192.168.5.2.
Aussitôt lancé la gentoo, j'ai changer l'Ip de leur passerelle par défaut en 192.168.5.1 (Ip de la nouvelle passerelle). |
|
Back to top |
|
|
DuF Advocate
Joined: 09 Dec 2002 Posts: 2687 Location: Paris
|
Posted: Wed Mar 05, 2003 11:25 pm Post subject: |
|
|
en fouillant sur le net j'ai effectivement trouvé ta fameuse ligne, mais elle ne se suffit pas à elle toute seule pour forwarder les paquets IPs et en plus il semble que cela soit valable pour ipchains....
cf => http://newbie.linuxbe.org/linux/masq/masq.html
Si t'as un noyau en 2.4.x, tu as iptables et non ipchains, alors prends plutôt une doc traitant du sujet sur iptables ! |
|
Back to top |
|
|
arlequin l33t
Joined: 16 Nov 2002 Posts: 707 Location: grep $USER /etc/passwd | cut -d':' -f6
|
Posted: Wed Mar 05, 2003 11:44 pm Post subject: |
|
|
Question conne, tu as fait :
Code: |
iptables -F FORWARD
iptables -A FORWARD -j ACCEPT
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
|
_________________ J'vous dis ciao !
Au fait, ciao ça veut dire bye en anglais. |
|
Back to top |
|
|
Arcord Apprentice
Joined: 18 Nov 2002 Posts: 223 Location: Amiens (France)
|
Posted: Thu Mar 06, 2003 8:27 am Post subject: |
|
|
Arf, je pensais que je n'étais pas obligé de me servir d'iptables dasn un premier temps, pensant que celui-ci ne faisait que firewall et n'était pas indispensable pour le routage (bien que très conseillé pour la sécurité).
Je pensais donc vérifier que cela fonctionnait avant de mettre iptables et configurer le firewall.
Bon, je m'étais fourvoyer, alors je vais l'installer et m'occuper de lui en même temps. |
|
Back to top |
|
|
arlequin l33t
Joined: 16 Nov 2002 Posts: 707 Location: grep $USER /etc/passwd | cut -d':' -f6
|
Posted: Thu Mar 06, 2003 8:32 am Post subject: |
|
|
Ben disons que le firewalling c'est le but premier d'iptables (ipchains aussi), mais tu en as aussi besoin pour faire le partage de connection (ip masquerading and co.).
Voilà _________________ J'vous dis ciao !
Au fait, ciao ça veut dire bye en anglais. |
|
Back to top |
|
|
Farnsworth Guru
Joined: 04 Feb 2003 Posts: 355 Location: Aix en Pce, France
|
|
Back to top |
|
|
px Guru
Joined: 26 Sep 2002 Posts: 497 Location: Metz, France
|
Posted: Thu Mar 06, 2003 7:44 pm Post subject: |
|
|
au lieu d'utiliser seulement iptables (qui est chiant a configurer quand meme) je te conseille de faire un tour sur www.shorewall.net. _________________ Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif. [Dave Barry] |
|
Back to top |
|
|
sergio Apprentice
Joined: 11 Jun 2002 Posts: 265 Location: Clermont Ferrand, France
|
Posted: Fri Mar 07, 2003 8:07 am Post subject: Re: Probleme de routage sur ma passerelle |
|
|
Arcord wrote: | salut,
je voudrais utiliser la gentoo pour faire une passerelle internet.
J'ai donc un petit PC, sur lequel j'ai installé mon modem (eci usb).
Lorsque je lance la connection elle s'établie bien, et d'ailleurs un ping sur n'importe quel site permet de le vérifier.
J'ai activé le forwarding en tapant: echo "1" /proc/sys/net/ipv4/ip_forward
Mais je ne parviens pas à avoir internet sur les autres PC.
Pourtant en cherchant sur google, il semblerait que cette ligne suffise pour distribuer internet sur les PC du lan.
Une fois de plus, je fais appel à vous pour m'orienter. |
Pourquoi ne pas en profiter pour installer un proxy/cache internet comme Squid. C'est simple à configurer et très efficace...
A+ |
|
Back to top |
|
|
Doudou Apprentice
Joined: 10 Jan 2003 Posts: 286 Location: Paris, France
|
Posted: Fri Mar 07, 2003 8:44 am Post subject: |
|
|
moi j'utilisais un petit script :
Quote: | doudou root # cat /etc/init.d/pat
#!/sbin/runscript
# Doudou Made
depend() {
need speedtouch
}
start() {
ebegin "Starting Port Adress Translation"
# Obligatoir
echo 1 > /proc/sys/net/ipv4/ip_forward
# Anti Spoof
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Config Masquerading
iptables -F FORWARD
iptables -A FORWARD -j ACCEPT
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
eend $? "Failed to lunch Port Adress Translation"
}
stop() {
ebegin "Stopping Port Adress Translation"
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
iptables -F FORWARD
eend $? "Failed to stop Port Adress Translation"
}
|
Ca marchait bien jusqu'a je passe au noyaux 2.4.20. La commande de MASQUERADE a changé si quelqu'un connais la modif, je suis preneur. |
|
Back to top |
|
|
px Guru
Joined: 26 Sep 2002 Posts: 497 Location: Metz, France
|
|
Back to top |
|
|
Doudou Apprentice
Joined: 10 Jan 2003 Posts: 286 Location: Paris, France
|
Posted: Fri Mar 07, 2003 10:14 am Post subject: |
|
|
Ton lien proposait de mettre a jour IPTABLE....mouaif....y'a pas eu de mise a jour!!
Par contre je l'ai ré-ermerge (sys-apps/iptables) et ca refonctionne
Merci bien! |
|
Back to top |
|
|
arlequin l33t
Joined: 16 Nov 2002 Posts: 707 Location: grep $USER /etc/passwd | cut -d':' -f6
|
Posted: Fri Mar 07, 2003 11:31 am Post subject: |
|
|
Y a même un script dans /etc/init.d pour démarrer iptables (de mémoire)... _________________ J'vous dis ciao !
Au fait, ciao ça veut dire bye en anglais. |
|
Back to top |
|
|
Arcord Apprentice
Joined: 18 Nov 2002 Posts: 223 Location: Amiens (France)
|
Posted: Fri Mar 07, 2003 11:36 am Post subject: |
|
|
Aie, j'ai un problème là...
J'ai emergé iptables, mais la version installée est prévue pour le kernek 2.4.20. Or, moi je n'ai que le 2.4.19.
J'ai donc fait emergé le 2.4.20, mais c'est bien toujours le 2.4.19 qui est utilisé.
je me place dans /usr/src/linux et lance make menuconfig, mais je vois en haut de la fenêtre qu'il s'agit toujours de configurer le 2.4.19. Comment puis-je passer au 2.4.20? |
|
Back to top |
|
|
sergio Apprentice
Joined: 11 Jun 2002 Posts: 265 Location: Clermont Ferrand, France
|
Posted: Fri Mar 07, 2003 12:06 pm Post subject: |
|
|
Arcord wrote: | Aie, j'ai un problème là...
J'ai emergé iptables, mais la version installée est prévue pour le kernek 2.4.20. Or, moi je n'ai que le 2.4.19.
J'ai donc fait emergé le 2.4.20, mais c'est bien toujours le 2.4.19 qui est utilisé.
je me place dans /usr/src/linux et lance make menuconfig, mais je vois en haut de la fenêtre qu'il s'agit toujours de configurer le 2.4.19. Comment puis-je passer au 2.4.20? |
Place-toi sous /usr/src et fait :
Code: |
ln -sf /usr/src/linux-2.4.20-gentoo-r1 linux
cd linux
make menuconfig
|
N'oublie pas de sauvegarder ton noyeau actuel pour prévenir un éventuel problème de compil du noyeau :
Code: |
mount /boot (si ce n'est pas déjà fait)
cp bzImage bzImage-2.4.19
|
ajouter une entrée dans grub ou dans lilo pour pouvoir booter sur ton ancien noyeau (bzImage-2.4.19)
A+ |
|
Back to top |
|
|
Arcord Apprentice
Joined: 18 Nov 2002 Posts: 223 Location: Amiens (France)
|
Posted: Fri Mar 07, 2003 12:17 pm Post subject: |
|
|
Super, merci. |
|
Back to top |
|
|
Arcord Apprentice
Joined: 18 Nov 2002 Posts: 223 Location: Amiens (France)
|
Posted: Fri Mar 07, 2003 5:57 pm Post subject: |
|
|
il y a quand même encore juste une chose que je ne comprend pa bien à propos d'iptables.
Tous les sites expliquent les règles à mettre, etc... et utilisent souvent un script pour cela.
Or, iptables au démarrage restaure les règles sauvegardées, donc pas besoin de script contenant les règles puisqu'il les reprend tout seul.
Mais quand on veut faire une modification ou vérifier, je voit bien l'utilité d'avoir un script les reprenantes toutes, c'est bien plus pratique. Mais comment fait-on se genre de script?
là je viens de faire qqchose avec nano que j'ai appelé firewall.sh -> toujours des problèmes de permissions alors que je suis en root.
Donc comment fait-on? |
|
Back to top |
|
|
px Guru
Joined: 26 Sep 2002 Posts: 497 Location: Metz, France
|
Posted: Fri Mar 07, 2003 6:05 pm Post subject: |
|
|
le script ne te sert a rien sur la gentoo, y'en a deja un dans le /etc/init.d/iptables qui te fait tout ca.
si tu veut sauvegarder tes regles (normalement ca se fait avec le stop) tu peux toujours faire un
/etc/init.d/iptables saves
le fichier /var/lib/iptables/rules-save contient les regles qui seront chargées et sauvé par le script.
si tu veut enregistrer ses règles manuellement tu peux toujours faire un
iptables-save > /var/lib/iptalbes/rules-save.
pour les charger ca doit etre un truc du style
cat /var/lib/iptables/rules-save >iptables-restore
mais je vais repeter que tu peux utiliser shorewall, tout se trouve dans le /etc/shorewall, tu bidouilles les fichiers de facon claire et ca va lui meme tout transcrire pour iptables et lancer iptables. donc rien a faire d'autre que d'ecrire des lignes comme
ACCEPT net fw tcp 80
pourquoi se compliquer la vie _________________ Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif. [Dave Barry] |
|
Back to top |
|
|
px Guru
Joined: 26 Sep 2002 Posts: 497 Location: Metz, France
|
Posted: Fri Mar 07, 2003 6:09 pm Post subject: |
|
|
pour faire un script... j'allais oublié oups :'(
tu cree un fichier machin.sh
avec a l'interrieur:
la premiere ligne defini l'executable:
#!/bin/sh
ou #!/bin/bash
ou #!/bin/perl
etc...
ensuite tu met tes lignes de script
pour ton cas ca te donnerai:
iptables -F;
iptables -F -t nat;
iptables -F -t mangle;
etc...
toutes les lignes que tu tapperais a la main.
ensuite faut juste faire passer le fichier en tant qu'executable, tu fais donc un:
chmod +x machin.sh
sinon tu peux toujours l'appeler par un
sh machin.sh
ou bash machin.sh _________________ Nous autres, mordus d'informatique, préférons par-dessus tout passer notre temps à bidouiller nos ordinateurs, plutôt que les utiliser pour faire quelque chose de productif. [Dave Barry] |
|
Back to top |
|
|
Arcord Apprentice
Joined: 18 Nov 2002 Posts: 223 Location: Amiens (France)
|
Posted: Fri Mar 07, 2003 6:30 pm Post subject: |
|
|
Ok merci pour toutes ces infos.
Je vais essayer dans un premier temps d'utiliser iptables directement. Comme je suis un newnie, je préfère voir d'abord un truc que je suis sûr de retrouver dans toutes les distributions, et quand je serais au point là-dessus je verrais shorewall (et certainement qu'à ce moment là je me dirais que cela simplifie la vie). |
|
Back to top |
|
|
Arcord Apprentice
Joined: 18 Nov 2002 Posts: 223 Location: Amiens (France)
|
Posted: Mon Mar 10, 2003 9:00 pm Post subject: |
|
|
Pour l'instant, je suis le tutorial suivant: http://christian.caleca.free.fr/netfilter/filter.htm
pourtant lorsque je fais:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
j'obtient le message 'iptables: invalid argument'.
Euh... je ne comprend pas bien là.
mon modem (eci usb) est bien appelé ppp0 donc je ne vois pas du tout ce qui cloche.
j'ai aussi essayé de faire:
iptables -t nat -A POSTROUTING -s 192.168.5.0/24 -j MASQUERADE (mon lan est en 192.168.5.xx), mais c'est exactement la même chose. |
|
Back to top |
|
|
arlequin l33t
Joined: 16 Nov 2002 Posts: 707 Location: grep $USER /etc/passwd | cut -d':' -f6
|
Posted: Mon Mar 10, 2003 9:08 pm Post subject: |
|
|
Moi j'ai les même arguemnts, mais pas dans le même ordre... peut-être que ça joue
Code: |
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
|
_________________ J'vous dis ciao !
Au fait, ciao ça veut dire bye en anglais. |
|
Back to top |
|
|
Arcord Apprentice
Joined: 18 Nov 2002 Posts: 223 Location: Amiens (France)
|
Posted: Mon Mar 10, 2003 9:26 pm Post subject: |
|
|
Non, ça ne changer rien.
Je tient à préciser que dans la configuration du noyau, j'ai tout activé dans l'onglet Ip Netfilter Configuration. Donc je ne pense pas que cela puisse venir d'un non-support du nat ou autrechose dans le noyau. |
|
Back to top |
|
|
arlequin l33t
Joined: 16 Nov 2002 Posts: 707 Location: grep $USER /etc/passwd | cut -d':' -f6
|
Posted: Mon Mar 10, 2003 9:39 pm Post subject: |
|
|
T'as tout mit en modules ? quoique, ça ne change sûrement rien... tu peux vérifier que l'ebuild 'sys-apps/iptables' est bien installée ?
Sinon j'ai pas trop d'idée _________________ J'vous dis ciao !
Au fait, ciao ça veut dire bye en anglais. |
|
Back to top |
|
|
|