[freeBSD]put** de nat avec connexion RTC (passage en ADSL)

put** de nat avec connexion RTC (passage en ADSL) [freeBSD] - Linux et OS Alternatifs

Marsh Posté le 21-11-2001 à 23:10:52    

J'arrive pas a mettre en place le NAT! j'ai recompiler le noyau comme indiqqué dnas les handbook, j'ai tout fait tout pareil, j'arrive a me connecter avec ppp, a voir des its avec lynx, mais lorsque je lance
 
natd -interface tun0  ..il ne se passe rien (normal?)
Sur mes client sous 98se, j'ai declaré une passerelle pour l'interface rezo avec l'adresse du server, mais il veut pas se connecter a travers le sever! j'en ai marre!!!
Un bon tutoriel, ou autre, car j'arrive po!!

 

[edtdd]--Message édité par trictrac--[/edtdd]

Reply

Marsh Posté le 21-11-2001 à 23:10:52   

Reply

Marsh Posté le 22-11-2001 à 09:53:18    

up..
Y'a pas d'utilisateurs de freeBSD dans la salle???

Reply

Marsh Posté le 22-11-2001 à 15:23:10    

Tu peux peut-être essayer un truc du genre :
natd -interface ppp0 -dynamic
 
Apparament, ppp peut faire la même chose directement... (voir http://www.freebsd-fr.org/FAQ/x1766.html )
 
 
Vérifie que tu as des règles de firewalling de base laissant tout passer dans le fichier /etc/rc.firewall :
 
/sbin/ipfw -f flush
/sbin/ipfw add divert natd all from any to any via ppp0
/sbin/ipfw add pass all from any to any

Reply

Marsh Posté le 22-11-2001 à 17:03:41    

merci ;)
 
J'ai pas regarder plus loin pour le firewall, car comme il m'est possible de consulter des sites sur la machine BSD, je pensais que le firewall ne posait pas de probleme particulier dans ce cas!
Est ce que le firewall ne marche que pour les machine situées derrière la machine connectée, et non pour la machine elle meme?

Reply

Marsh Posté le 22-11-2001 à 18:27:32    

Je pense que le firewall marche aussi pour la machine elle même. Tu peux probablement différentier la machine elle même du reste de reseau lors de la configuration, mais dans un premier temps, tu laisse tout passer et tu est sur que ca marche.

Reply

Marsh Posté le 22-11-2001 à 19:43:40    

j'en ai marre, ca veut^pas marcher, mais je persiste...

Reply

Marsh Posté le 22-11-2001 à 19:58:10    

Un bon conseil : laisse tomber le firewall intégré à freeBSD et utilise IpFilter. Tu verras, c mythique : les règles s'écrivent facilement et naturellement, et le nat se fait en 2s, le tout grace à la doc. Pour freeBSD, faut recompiler le noyau en décommentant 3 lignes, et en rajouter 3 dans le rc.conf. Et après, tranquille. Je l'ai fait pour 2 firewall à la boite et c impec.
 
A+


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 22-11-2001 à 20:42:27    

the..->fodrait que tu me dise dans les detail la procedure a suivre si tu t'en rapelle, parce que chez moi, ca marche po...
(il fo noter que je me connecte en RTC, et que donc je ne suis pas connecter tout le temps et que natd ne dois pas etre lancé au demarage

Reply

Marsh Posté le 22-11-2001 à 20:59:35    

Ben euh, demain si je m'en souviens, j'essaie de retrouver ma doc et je t'envoi le lien. En fait, en recompilant le noyau, tu désactives les capacités de freeBSD et tu actives celles d'ipfilter. Ensuite, tu vas utiliser ipf et ipnat pour mettre en place tes règles et ton nat, sans avoir besoin de daemon du style de natd (dont perso je n'ai jamais entendu parler) ou autre : ce sera le module ipfilter du kernel qui s'en chargera. ipf et ipnat ne feront que charger des règles dans le kernel.


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 23-11-2001 à 07:53:28    

ben dans ce cas, j'attend ton link avec impatience!

Reply

Marsh Posté le 23-11-2001 à 07:53:28   

Reply

Marsh Posté le 23-11-2001 à 13:26:47    

Té, quelques lignes qui devraient te permettre de t'en sortir. Ok, ma prose n'est pas géniale mais j'ai fait ça à la va vite :D
 
http://www.chez.com/fireball/ipfilter_freebsd.txt


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 23-11-2001 à 14:03:51    

la vache, c'est pas du tout ce qu'ils disnet dans les handbooks de freeBSD! je vais essayer ca en esperant que ca marche mieux!!!

Reply

Marsh Posté le 23-11-2001 à 14:18:06    

<----- J'ai mis à jour mon fichier car j'avais oublier un truc ----->
 
Dans les handbook, je ne sais pas s'ils causent d'ipfilter ou du firewall propre à freeBSD, qui est totalement différent. En fait, ipfilter est le firewall d'OpenBSD qui a été porté sur freeBSD et Solaris (et surement d'autre aussi mais je ne les connais pas). Si tu veux l'utiliser, faut désactivé le firewall de freeBSD et activé ipfilter. Avec la méthode du fichier texte, j'ai installé 2 firewalls qui fonctionnent. Ouala, bon courage :hello:


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 23-11-2001 à 15:43:57    

ben disons que eux conseillent ipfw et natd..
 
Esyt que si j'inclus ipfilter et ipnat dans la config du noyau, il trouvera les exe tou seul, ou c'est des packages separes a installer??

Reply

Marsh Posté le 23-11-2001 à 15:55:32    

ouaip, les binaires sont déjà présents dans freeBSD, et il faut juste recompiler le kernel


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 23-11-2001 à 16:59:42    

j'ai recompilé le kernel avec les options que tu m'as dit, mais maintenant il veut plus pinger!
Meme ping 127.0.0.1 me repond 'No route to host'
Comprend po..

  • Puis le parametre -A pour IPnat n'existe pas
  • le parametre -f pour config ne fonctionne pas, mais ca compile quand meme, meme sans!
  • je met koi dans les fichiers *.rules car ils n'existent pas!

c'est tout pour linstatnt

Reply

Marsh Posté le 23-11-2001 à 17:11:23    

ok, alors, reprenons tout depuis le début. Après relecture de ma doc, effectivement, j'ai fait un copié-collé de trop. La bonne syntaxe est ipnat -CF -f /etc/ipnat.rules et c'est /usr/sbin/config –g FIREWALL Désolé pour toute ces erreurs, mais j'ai fait ça rop vite :( Promis, je ferais attention à l'avenir
 
Pour tes problèmes de ping, c normal, par défaut, la politique est DROP donc ipfilter refuse tous les paquets, meme pour le loopback. En ce qui concerne les fichiers /etc/ipf.rules et /etc/ipnat.rules, c normal qu'ils n'existent pas, c à toi de les créer et de les remplir.
 
Par exemple, tu peux mettre dans /etc/ipf.rules les règles suivantes :
 
pass in all
pass out all
 
et tout ton traffic sera autorisé en entrée comme en sortie sur toutes les interfaces et tu pourras pinger à nouveau

 

[edtdd]--Message édité par the_fireball--[/edtdd]


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 23-11-2001 à 17:15:37    

mais je trouve ou koi mettre dedans???
tu peux me donner des exemples???
 
ipf.rules, c'est bon pour l'instant, je vais essayer avec ce que tu ma donné!
Mais pour ipnat?

Reply

Marsh Posté le 23-11-2001 à 17:20:26    

bon, ben ca marche pour le firewall...
Mais toujours po pour le nat, je sais pas koi mettre dedans

Reply

Marsh Posté le 23-11-2001 à 17:21:33    

Pour touver quoi mettre dedans, faut lire la doc :
Site officiel : http://coombs.anu.edu.au/ipfilter/
Doc : http://www.obfuscation.org/ipf/
 
Mais comme je suis brave ce soir, voila de quoi remplir ton fichier /etc/ipnat.rules :
 
syntaxe : map <external interface> <internal ip> -> 0/32
 
Exemple : si ton interface ppp est ppp0 et que ton adressage interne est 192.168.10.0/255.255.255.0, tu tapes :
 
map ppp0 192.168.10.0/24 -> 0/32
 
et hop, tous tes paquets seront naté avec l'ip de ta connexion ppp.


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 23-11-2001 à 19:19:34    

je tiens a te remercier pour ton aide, mais je peux plus tester aavant dimanche soir, donc je verrais ca plus tard, et si il y a un pb, attend toi a re-entendre parler de moi ;)

Reply

Marsh Posté le 23-11-2001 à 19:23:01    

de rier ! Et pas de problème, si je peux t'aider, je le ferais. En théorie, d'ici une dizaine de jours, je me monte un petit pc sous freeBSD pour m'amuser  :love:


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 23-11-2001 à 20:54:09    

ben tu me tiendra au courant....
PS: t'as des nouvelles de la versions 5.0, vu que tu me parais bien informé!!!
 
PPS: sinon, pourkoi t'essayerais pas, danss ton prochain pc que tu montes, de faire marché natd et le firewall tout comme c'est dit dedans le handbook???

Reply

Marsh Posté le 23-11-2001 à 21:02:20    

Je ne suis pas si bien informé que ça sur freeBSD en fait. Je m'y suis intéressé car un un bon os et parce que j'ai du installer deux firewalls avec. Pour l'instant, j'ai le 4.4 que j'ai downloadé ya pas longtemps et je ne sais pas pour le 5.0. J'avais lu une news disant qu'il était prévu pour dans quelques mois (dont g oublié le nombre) mais je ne la retrouve pas.
 
Pourquoi je n'utilises pas natd et le firewall intégré ? Ben parce qu'ipfilter est un très bon firewall, à mon avis supérieur à celui de freeBSD. Et j'ai déjà appris ipchains, iptables, ipf et ipnat alors je dis stop pour l'instant :D :D :D Plus sérieusement, ipfilter vient d'OpenBSD, OS réputé sécurisé et avec un bon firewall (ipfilter donc). Vu qu'ipfilter a été porté sur freeBSD avec succès, et l'ayant testé sans problème et connaissant sa syntaxe, je ne vais pas me faire chier à me prendre la tête avec un autre truc. Tu n'es pas d'accord ?


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 24-11-2001 à 12:52:16    

c'etait une suggestion, car tant qu'a installer un FEREBSD pour le fun sur une otre machine, je pensais que decouvrir un nouvo firewall/nat pourrais t'intereser

Reply

Marsh Posté le 24-11-2001 à 13:11:59    

Merci pour ta suggestion mais en fait, la machine sur laquelle je vais installer freeBSD est destinée à me servir de passerelle et à rester connectée 24h/24 car mon pc principal est trop bruyant. Par conséquent, je vais essayer de bien faire les choses et de bien la configurer (serveur mail, web, dns dynamique, ssh, etc). Et du coup, je préfère utiliser ce que je connais pour ne pas me prendre la tête. Mais en cas, je jetterai un oeil sur le firewall de freeBSD et sur natd, pour ne pas mourir idiot :jap:


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 24-11-2001 à 18:00:20    

ca t'arrive souvent de regarder tes messages privés, car a terme ma machine aura la meme utilisation, donc si j'ai des problemes sans reponse, je te contacterai par message privé...

Reply

Marsh Posté le 24-11-2001 à 18:03:54    

Ben mes messages privés, je les mates quand c écrit sur le forum ou que le popup s'ouvre pour m'avertir. Donc oui, tu peux me contacter par ce moyen, ya pas de soucis.


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 26-11-2001 à 12:53:47    

ben le nat il marche po.....
J'ai fais qqelques commandes une fois la connection lancée pour que tu puisse voir ce qui ne va pas! si j'ai dotres commandes a passer pour pouvoir diagnostiquer le pb, il fo me le dire! Comment on fais pour savoir si c'est le nat qui marche po ou le client?
 

Code :
  1. server# ifconfig
  2. rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
  3.         inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
  4.         ether 00:50:22:8f:27:cf
  5.         media: Ethernet autoselect (none)
  6.         status: active
  7. lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
  8.         inet 127.0.0.1 netmask 0xff000000
  9. ppp0: flags=8010<POINTOPOINT,MULTICAST> mtu 1500
  10. sl0: flags=c010<POINTOPOINT,LINK2,MULTICAST> mtu 552
  11. tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500
  12.         inet 62.147.x.x --> 192.168.254.254 netmask 0xffffff00
  13.         Opened by PID 235
  14. server# netstat -r
  15. Routing tables
  16. Internet:
  17. Destination        Gateway            Flags    Refs      Use  Netif Expire
  18. default            192.168.254.254    UGSc        0        0   tun0
  19. localhost          localhost          UH          0        0    lo0
  20. 192.168.0          link#1             UC          2        0    rl0
  21. 192.168.0.2        0:50:ba:e0:c5:30   UHLW        2       75    rl0   1060
  22. 192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       2       23    rl0
  23. 192.168.254.254    strasbourg-2-a7-13 UH          3        0   tun0
  24. server# ipf -FA -f /etc/ipf.rules
  25. server# ipnat -CA -f /etc/ipnat.rules
  26. ipnat: illegal option -- A
  27. ipnat: [-CFhlnrsv] [-f filename]
  28. server# ipnat -CF -f /etc/ipnat.rules
  29. 0 entries flushed from NAT table
  30. 1 entries flushed from NAT list
  31. server# netstat -r
  32. Routing tables
  33. Internet:
  34. Destination        Gateway            Flags    Refs      Use  Netif Expire
  35. default            192.168.254.254    UGSc        4       21   tun0
  36. localhost          localhost          UH          0        0    lo0
  37. 192.168.0          link#1             UC          2        0    rl0
  38. 192.168.0.2        0:50:ba:e0:c5:30   UHLW        2      163    rl0   1009
  39. 192.168.0.255      ff:ff:ff:ff:ff:ff  UHLWb       2       23    rl0
  40. 192.168.254.254    strasbourg-2-a7-13 UH          3        0   tun0
  41. server#
  42. ipf.rules:
  43. pass in all
  44. pass out all
  45. ipnat.rules
  46. map tun0 192.168.0.0/24 -> 0/32

Reply

Marsh Posté le 26-11-2001 à 12:58:08    

Euh déjà, c'est quoi cette route par défault positionné à 192.168.254.254 ??? Normalement, la route par défaul devrait être du style default <ip de tun0>. Vérifie ce problème déjà. Ya une option à mettre dans le script linkup pour modifier ta route par défaut.
 
Ensuite, tu dis que le nat ne marche pas, ok, mais marche pas en quoi ? Des messages d'erreurs ? autre ?


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 26-11-2001 à 12:59:42    

et aussi, dans ta règle de nat, le masque doit être 16 et pas 24 si ton réseau est 192.168.0.0 !


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 26-11-2001 à 18:09:53    

bon, la j'ai pas ma machine sous la main, donc comme ca, a chaud:
-le rezo c'est du 255.255.255.0, don C pour ca que 24 (je pense ??)
-ben justement, comment on sait que le nat marche autrement que le fait que le client ne peut pas pinger l'exterieur.
-pour l'adresse par defaut, je comprend pas ce que tu dit, mais je regarde ca ce soir (mais quand mem, le netif de default c'est tun0 ??)
 
Voilou, si t'as une reponse, elle est la bien venue, sinon je vais bouffer du handbook ce soir ;)

Reply

Marsh Posté le 26-11-2001 à 19:27:20    

Ouais laisse tomber le masque j'ai du me perdre dans tes données... Si ton rezo est 192.168.0.x alors c bien un masque de 255.255.255.0 :D
 
Pour le nat, je crois qu'avec ipnat -L tu as la liste des adresses natées, faudra que tu essais de faire du net ou un ping depuis ton client et regarder sur le serveur si ipnat -L t'affiche un truc. Et sur ton client, tu as les bonne routes au moins ? Je sais c con comme question mais on ne sait jamais. Vérifie que tu as bien une route par defaut vers la passerelle sur ton client :D
 
Pour l'instant, c tout ce que j'ai comme idée.
 
Edit :
 
autant pour moi, si ton serveur ping/surf/autre des ip extérieures, c que tu as la bonne route donc que ce n'est pas la que réside ton problème...

 

[edtdd]--Message édité par the_fireball--[/edtdd]


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 26-11-2001 à 19:29:20    

ben sur le client IP de la carte rezo, sous win, j'ai mis l'adresse du server comme passerelle
 
Je vais essayer ca!

 

[edtdd]--Message édité par trictrac--[/edtdd]

Reply

Marsh Posté le 26-11-2001 à 19:30:29    

ton client win communique donc bien avec ton serveur, le ping/ssh/telnet fonctionne bien ?


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 26-11-2001 à 19:30:55    

euh, tu vas essayer quoi ?


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 26-11-2001 à 19:36:35    

ipnat -L
 
oui, ssh marche vers le server.
 
mais je peux pas pinger lexterieur

Reply

Marsh Posté le 26-11-2001 à 19:45:31    

resulta de ipnat -l:
 
server# ipnat -l
List of active MAP/Redirect filters:
map tun0 192.168.0.0/24  -> 0.0.0.0/32
 
List of active sessions:
server#
 

  • Concernant le default -> 192.168.254.254  ,  il y a aussi

                192.168.254.254-> strasbourg... (free koi..)
 
Mais toujours pas moyen de pinger l'exterieur.
 
Tu peut copier/coller ton ipnat.rules ??

Reply

Marsh Posté le 26-11-2001 à 19:47:43    

Ok, test et tiens moi au courant pour ipnat -l


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 26-11-2001 à 19:48:50    

c quoi ce 192.168.254.254 ???


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed