| View previous topic :: View next topic |
| Author |
Message |
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
 Posted: Mon Jun 09, 2003 11:32 am Post subject: iptables et masquerade |
 |
|
bonjour,
voila mon probleme depuis le debut ke g ma gentoo (superbe d'ailleurs), j'utilisais ces deux commandes pour mettre le net sur le reso :
| Code: | echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE |
et cela fonctionnait a merveille.. or hier g voulu tester quelques nouvelles config de firewall et depuis plus rien ne passe sur la machine reso :'( (meme pas un ping) Alors que sur le server tt se passe bien ! J'ai flushe ttes mes regles, unmerge iptables et reinstall.. ms rien n'y fait ca ne veut tjs pas ! alors ke ca marchait avt.. je ne comprends pas  |
|
| Back to top |
|
 |
ttgeub
Guru
Joined: 20 Jan 2003
Posts: 494
Location: Eindhoven
|
| Posted: Tue Jun 10, 2003 11:14 am Post subject: |
|
|
complement d informations
tu peux renvoyer le resultat des commandes :
iptables -L -v
et
iptables -t nat -L -v |
|
| Back to top |
|
|
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
| Posted: Tue Jun 10, 2003 12:08 pm Post subject: |
|
|
| Code: | #iptables -L -v
Chain INPUT (policy ACCEPT 63419 packets, 53M bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- ppp0 eth0 anywhere anywhere state NEW,RELATED,ESTABLISHED
259 16734 ACCEPT all -- eth0 ppp0 anywhere anywhere
0 0 LOG all -- any any anywhere anywhere LOG level warning
Chain OUTPUT (policy ACCEPT 64818 packets, 53M bytes)
pkts bytes target prot opt in out source destination |
| Code: | # iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 685 packets, 42852 bytes)
pkts bytes target prot opt in out source destination
37 1908 DNAT tcp -- any any anywhere anywhere tcp dpt:www to:192.168.0.1:8080
Chain POSTROUTING (policy ACCEPT 93 packets, 14036 bytes)
pkts bytes target prot opt in out source destination
1266 76562 MASQUERADE all -- any ppp0 anywhere anywhere
Chain OUTPUT (policy ACCEPT 1312 packets, 87410 bytes)
pkts bytes target prot opt in out source destination |
(g rajoute une chaine pr rendre mon squid transparent) |
|
| Back to top |
|
|
ttgeub
Guru
Joined: 20 Jan 2003
Posts: 494
Location: Eindhoven
|
| Posted: Tue Jun 10, 2003 12:42 pm Post subject: |
|
|
Bon alors ma reponse va pas etre terrible mais je pense que cela vient de la chaine forward qui est incorrect bien qu à premiere vue je ne vois pas pourquoi. Donc essaye et regarde si ca marche avec :
iptables -F FORWARD
iptables -P FORWARD ACCEPT |
|
| Back to top |
|
|
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
| Posted: Tue Jun 10, 2003 12:53 pm Post subject: |
|
|
non ca ne marche tjs pas ;( c a l'air compltement incomprehensible.. tt me semble juste !!! je donne ma derniere config pr router
| Code: | IPTABLES=/sbin/iptables
MODPROBE=/sbin/modprobe
EXTIF="ppp0"
INTIF="eth0"
$MODPROBE ip_tables
$MODPROBE ip_conntrack
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -F FORWARD
$IPTABLES -t nat -F
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
|
|
|
| Back to top |
|
|
jon
n00b
Joined: 15 Nov 2002
Posts: 28
Location: Lille, FRANCE
|
| Posted: Tue Jun 10, 2003 1:04 pm Post subject: |
|
|
tu pourrais donner les adresses ip de tes machines (serveur et station de travail) les masques de sous réseaux ...
faire "route -n" sur le serveur, pour voir la table de routage
tu ping le serveur depuis ton poste ?
je ne pense pas que le echo "1">dynaddr soit necessaire... |
|
| Back to top |
|
|
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
| Posted: Tue Jun 10, 2003 1:30 pm Post subject: |
|
|
voila voila :
pc client : 192.168.0.2 / 255.255.255.0 (win2k)
pc server : 192.168.0.1 / 255.255.255.0 (gentoo 
| Code: | #route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
80.200.107.1 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 80.200.107.1 0.0.0.0 UG 0 0 0 ppp0 |
yes le ping vers le server passe ms pas vers l'ext ! |
|
| Back to top |
|
|
ttgeub
Guru
Joined: 20 Jan 2003
Posts: 494
Location: Eindhoven
|
| Posted: Tue Jun 10, 2003 2:07 pm Post subject: |
|
|
| remarque est ce que tu as bien le serveur comme gateway du client ? |
|
| Back to top |
|
|
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
| Posted: Tue Jun 10, 2003 3:10 pm Post subject: |
|
|
| oui ! |
|
| Back to top |
|
|
yoyo
Bodhisattva
Joined: 04 Mar 2003
Posts: 4273
Location: Lyon - France
|
| Posted: Tue Jun 10, 2003 3:21 pm Post subject: |
|
|
Je remarque que, pour la ligne concernant ton Gateway, Metric est à 0 alors que la doc d'install dit de le mettre à 1.
Je ne sais pas à quoi cela correspond  mais bon c'est peut-être ça. |
|
| Back to top |
|
|
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
| Posted: Tue Jun 10, 2003 5:50 pm Post subject: |
|
|
| c'est possible ms comment le changer ?? qqn a une idée ? |
|
| Back to top |
|
|
ttgeub
Guru
Joined: 20 Jan 2003
Posts: 494
Location: Eindhoven
|
| Posted: Tue Jun 10, 2003 9:05 pm Post subject: |
|
|
| je ne crois pas que cela soit tres important chez moi je ne l ai pas et ca marche |
|
| Back to top |
|
|
lebarjack
n00b
Joined: 11 Jun 2003
Posts: 47
Location: Lille - France
|
| Posted: Wed Jun 11, 2003 6:21 am Post subject: |
|
|
Tous les modules nécéssaires sont ils bien chargés/compilés?
iptables_nat, par exemple. |
|
| Back to top |
|
|
Angelion
Apprentice
Joined: 13 May 2003
Posts: 250
|
| Posted: Wed Jun 11, 2003 6:53 am Post subject: |
|
|
Une autre remarque:
quand on fait un Firewall on met pas la politique par defaut à ACCEPT ...
surtout si on a pas une seule regle qui drop ... |
|
| Back to top |
|
|
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
| Posted: Wed Jun 11, 2003 7:39 am Post subject: |
|
|
| Angelion wrote: | Une autre remarque:
quand on fait un Firewall on met pas la politique par defaut à ACCEPT ...
surtout si on a pas une seule regle qui drop ... |
oui la n'est pas la question... si ca ne passe deja pas avec tt a ACCEPT.. j'vais pas aller mettre des DROP qui vont plus me créer de problemes qu'autre chose ! Chaque chose en son temps (c'est d'ailleurs depuis que j'ai tente de retravailler ma config firewall que ca marche plus..), et ce meme apres un flush totale des regles !
oui j'ai compile tt ce ki etait possible pr netfilter |
|
| Back to top |
|
|
lebarjack
n00b
Joined: 11 Jun 2003
Posts: 47
Location: Lille - France
|
| Posted: Wed Jun 11, 2003 8:45 am Post subject: |
|
|
| Quote: | | oui j'ai compile tt ce ki etait possible pr netfilter |
Un petit /sbin/lsmod |grep ip pour voir? |
|
| Back to top |
|
|
ttgeub
Guru
Joined: 20 Jan 2003
Posts: 494
Location: Eindhoven
|
| Posted: Wed Jun 11, 2003 8:47 am Post subject: |
|
|
| Es tu certains que le probleme ne vienne pas du poste client sous windows et non de la gentoo ? As tu essaye avec un mini linux genre tomsrtbt comme client en lieu et place du windows ? |
|
| Back to top |
|
|
Dom
Guru
Joined: 25 Mar 2003
Posts: 416
Location: Menton, France
|
| Posted: Wed Jun 11, 2003 9:06 am Post subject: |
|
|
| ttypub wrote: | | Es tu certains que le probleme ne vienne pas du poste client sous windows et non de la gentoo ? As tu essaye avec un mini linux genre tomsrtbt comme client en lieu et place du windows ? |
Oui c'est bien possible, moi aussi j'ai galéré plusieurs jours à essayer de configurer mon poste linux, en pensant que je m'était planté dans la config d'iptables, alors qu'en fait le problème venait du driver de la carte réseau de la machine windows (alors que rien ne le laissait penser). Je l'ai réinstallé et ça marche  |
|
| Back to top |
|
|
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
| Posted: Wed Jun 11, 2003 11:06 am Post subject: |
|
|
| Code: | # /sbin/lsmod |grep ip
ipt_TCPMSS 2264 1 (autoclean)
ipt_TOS 984 22 (autoclean)
ipt_unclean 6776 1 (autoclean)
ipt_limit 1016 4 (autoclean)
iptable_mangle 2072 1 (autoclean)
ipt_MASQUERADE 2136 1 (autoclean)
ipt_LOG 3448 12 (autoclean)
ipt_state 600 4 (autoclean)
iptable_filter 1644 1 (autoclean)
ip_nat_irc 3024 0 (unused)
ip_nat_ftp 3984 0 (unused)
iptable_nat 25080 3 [ipt_MASQUERADE ip_nat_irc ip_nat_ftp]
ip_conntrack_irc 3440 1 [ip_nat_irc]
ip_conntrack_ftp 4624 1 [ip_nat_ftp]
ip_conntrack 34208 4 [ipt_MASQUERADE ipt_state ip_nat_irc ip_nat_ftp iptable_nat ip_conntrack_irc ip_conntrack_ftp]
ip_tables 15808 12 [ipt_TCPMSS ipt_TOS ipt_unclean ipt_limit iptable_mangle ipt_MASQUERADE ipt_LOG ipt_state iptable_filter iptable_nat]
|
oui j'ai teste depuis le live cd de la gentoo.. ca ne passe qd meme pas ! et je vous rappelle ke ca marchait nickel au tt debut |
|
| Back to top |
|
|
ttgeub
Guru
Joined: 20 Jan 2003
Posts: 494
Location: Eindhoven
|
| Posted: Wed Jun 11, 2003 11:28 am Post subject: |
|
|
désolé pour les reply parfois un peu simpliste mais il vaut mieux essayer les trucs stupides avant les trucs intelligents. Le probleme c est qu on a pas l ombre d une prise sur le probleme et que tout semble correctement configuré
Est ce que tu pourrais dans ton script d initialisation passé la ligne de log sur forward avant les deux autres afin de logger tout ce qui se passe sur forward
En clair :
| Code: | $IPTABLES -A FORWARD -j LOG
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT |
Puis tente un ping a partir du client et regarde tes logs voir si il y a une trace au moins du ping |
|
| Back to top |
|
|
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
| Posted: Thu Jun 12, 2003 2:45 pm Post subject: |
|
|
ok  j'vais tester ca !
les replys simplistes sont logiques, surtt que ca surement provenir d'une ptite broutille...
euh... ils sont ou les logs iptables ? |
|
| Back to top |
|
|
ttgeub
Guru
Joined: 20 Jan 2003
Posts: 494
Location: Eindhoven
|
| Posted: Thu Jun 12, 2003 2:55 pm Post subject: |
|
|
| quand on utilise la cible LOG les messages de log du firewall sont considérés comme des messages du noyau (ce qui est logique) et donc sont logges avec les messages du noyau donc probablement dans /var/log/kern.log meme si je n ai pas verfie si c etait exactement ce fichier sous gentoo. |
|
| Back to top |
|
|
Shaoken
n00b
Joined: 05 Jun 2003
Posts: 65
|
| Posted: Thu Jun 12, 2003 6:19 pm Post subject: |
|
|
je ne vois rien a ce sujet qd je ping dans aucun log.
Ici pr me depanner j'avais monte un proxy SQUID qui fonctionne tres bien (outils internet option -> proxy). Or j'ai tente de le passer en transparent cad de passer ttes les requetes de 192.168.0.2 vers le port 80 sur le port 8080 du server. Et il n'en veut pas alors !!
On dirait qu'il ne comprend/recoit pas les requetes net du client !! pourtant je l'ai bien mis en paserelle ! |
|
| Back to top |
|
|
ttgeub
Guru
Joined: 20 Jan 2003
Posts: 494
Location: Eindhoven
|
| Posted: Thu Jun 12, 2003 8:54 pm Post subject: |
|
|
Bon si ces requetes ne sont pas dans les logs ca veut dire qu elle ne parte pas du client ; aussi bizzare que cela puisse paraitre ! On va donc faire encore plus bas niveau
sur le serveur tu vas lancer
sur le client tu vas faire la meme chose avec le cd de boot de la gentoo (si eth0 est bien la carte reseau reliee au serveur)
puis toujours sur le client tu lances
(le serveur je suppose)
tu regardes ce qui se passe sur les deux tcpdump, puis
(une machine de ma connaissance sur le net)
tu regardes ce qui se passe, puis sur le serveur , tu lances :
tu regardes ce qui se passe
Finalement tu postes le resultat du tout sur le forum pendant que moi je fais bruler un cierge en esperant que l on apprenne quelque chose ...
Last edited by ttgeub on Thu Jun 12, 2003 10:39 pm; edited 1 time in total |
|
| Back to top |
|
|
dioxmat
Bodhisattva
Joined: 04 May 2002
Posts: 709
Location: /home/mat
|
| Posted: Thu Jun 12, 2003 9:25 pm Post subject: |
|
|
J'ai pas tout suivi, mais attention, si tu as change ton kernel, tu dois re-emerger iptables. c'est ptet ca, ptet pas...
_________________
mat |
|
| Back to top |
|
|
|
French
