[IpTables] Problème de masquerade [Résolu] Gentoo était le problème...

Gentoo était le problème... [IpTables] Problème de masquerade [Résolu] - Linux et OS Alternatifs

Marsh Posté le 20-11-2003 à 19:59:22    

Dans mon script d'initialisation de mes règles, j'ai un :


## activation du masquerading ##
iptables -t nat -A POSTROUTING -o $device -j MASQUERADE


 
qui me permettrait de pouvoir partager la connec, mais iptables me sort une erreur : iptables: Invalid argument.
 
Ce n'est pas un problème de NAT, et tous les modules iptables sont bien compilé  [:ciler]


Message édité par Klaimant le 21-11-2003 à 12:24:06

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 20-11-2003 à 19:59:22   

Reply

Marsh Posté le 20-11-2003 à 20:13:11    

tu l'a DTC :o)
 
héhé

Reply

Marsh Posté le 20-11-2003 à 20:17:15    

Post constructif


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 20-11-2003 à 20:32:49    

à tout hasard, tu as chargé le module ipt_MASQUERADE ?

Reply

Marsh Posté le 20-11-2003 à 20:33:21    

Trèsss :D  
maintenant tu sais ou il faut cherché  :pt1cable:  
lol

Reply

Marsh Posté le 20-11-2003 à 20:35:31    

Jul a écrit :

à tout hasard, tu as chargé le module ipt_MASQUERADE ?


 
c'est en dur dans mon noyau :)


Message édité par Klaimant le 20-11-2003 à 20:35:37

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 20-11-2003 à 20:40:11    

Klaimant a écrit :

Dans mon script d'initialisation de mes règles, j'ai un :


## activation du masquerading ##
iptables -t nat -A POSTROUTING -o $device -j MASQUERADE


 
qui me permettrait de pouvoir partager la connec, mais iptables me sort une erreur : iptables: Invalid argument.
 
Ce n'est pas un problème de NAT, et tous les modules iptables sont bien compilé  [:ciler]  
 
 


 
essaye de remplacer $device par etho ou eth1 en "dur" dans ton script pour voir si c'est ca qui merde.
 
Et précise aussi pour quelles ip/classe d'ip tu veut faire le masquerade avec -s 192.168.1.0/24 par ex

Reply

Marsh Posté le 20-11-2003 à 20:44:41    

avec précision cela ne change rien, et en changeant le device aussi :/


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 20-11-2003 à 20:46:12    

CONFIG_IP_NF_TARGET_MASQUERADE=y
 
J'ai compilé mon noyau avec le support ...


Message édité par Klaimant le 21-11-2003 à 11:22:16

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 20-11-2003 à 22:24:11    

fait péter un lsmod

Reply

Marsh Posté le 20-11-2003 à 22:24:11   

Reply

Marsh Posté le 20-11-2003 à 22:24:29    

et le dmesg :D

Reply

Marsh Posté le 20-11-2003 à 22:27:45    

c'est sous gentoo non ? :o

Reply

Marsh Posté le 21-11-2003 à 03:47:38    

lsmod sert à rien, il est en dur :D
 
pourquoi dmesg ??


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 06:59:38    

ta version de iptables est a jour ?

Reply

Marsh Posté le 21-11-2003 à 09:47:57    

si tu es sous gentoo, il faut que tu essayes de recompiler iptables...
ps: c mieux de mettre ipfilter en modules plutôt que en dur dans le kernel...
 
dmesg te permet de voir les messages liés à ton kernel pdt la phase de boot, mais aussi les messages qd tu charges des modules
 
edit: des fois c pas francais ce que j'écris... :lol:


Message édité par grosminet le 21-11-2003 à 09:50:10
Reply

Marsh Posté le 21-11-2003 à 10:37:19    

Klaimant a écrit :

lsmod sert à rien, il est en dur :D
 
pourquoi dmesg ??


 
pour voir que netfilter est initialized  :o

Reply

Marsh Posté le 21-11-2003 à 10:58:30    

netfilter est initialisé, puisque tout marche sauf mon MASQUERADE :)
 
Ma version iptables est à jour également :)
 
Pourquoi les mettres en modules :??:, je trouve plus sérieux de mettre les régles iptables en dur, mais c'est mon avis :)


Message édité par Klaimant le 21-11-2003 à 11:01:07

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 11:21:07    

je crois que pour netfilter y a une option dans le noyau qui le rends plus "verbose" essaye de l'activer pour voir

Reply

Marsh Posté le 21-11-2003 à 11:24:45    

Ben nan, je vois pas vraiment la :)


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 11:28:37    

bon, fait péter ton fichier de config du noyau

Reply

Marsh Posté le 21-11-2003 à 11:31:11    

Attend j'ai fait un mr propre :) je recompile en mettant iptables en modules :)
 
Comme ca je verrais bien si le module masquerade pose vraiment problème ou si c'est autre part :)


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 11:37:10    

Klaimant a écrit :

Attend j'ai fait un mr propre :) je recompile en mettant iptables en modules :)
 
Comme ca je verrais bien si le module masquerade pose vraiment problème ou si c'est autre part :)


 

Citation :

Pourquoi les mettres en modules  :??: , je trouve plus sérieux de mettre les régles iptables en dur, mais c'est mon avis


 
 
Bin voilà, ca permet de faire de savoir plus finement d'où vient le problème  :o  
 

Reply

Marsh Posté le 21-11-2003 à 11:42:33    

oui mais c'est moins robuste :/


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 11:46:36    

Voilà, j'ai rebooté avec tout en module, mais jai toujours mon erreur sur mon MASQUERADE, bien que le module soit lancé :'(


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 11:47:41    

Klaimant a écrit :

oui mais c'est moins robuste :/


robuste ?

Reply

Marsh Posté le 21-11-2003 à 11:48:32    

Klaimant a écrit :

Voilà, j'ai rebooté avec tout en module, mais jai toujours mon erreur sur mon MASQUERADE, bien que le module soit lancé :'(


 
bon
 
donne uname -r
iptables -V
la config du noyau
le dmesg

Reply

Marsh Posté le 21-11-2003 à 11:48:43    

en cas d'attaque


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 11:50:13    

Klaimant a écrit :

en cas d'attaque


 
c'est un plus, mais y a tant de choses à fait avant  ;)
 
edit: et puis si le type à un accès root sur la bécane, c'est déjà qu'il y a un sérieux problème


Message édité par void_ppc le 21-11-2003 à 11:50:45
Reply

Marsh Posté le 21-11-2003 à 11:53:11    

uname -a :
 

Linux RoGeR 2.4.22 #1 SMP Fri Nov 21 11:35:32 GMT 2003 i686 AMD Athlon(tm) XP 2000+ AuthenticAMD GNU/Linux


 
iptables -V :
 

iptables v1.2.8


 
conf noyo :
 

Code :
  1. #
  2. #   IP: Netfilter Configuration
  3. #
  4. CONFIG_IP_NF_CONNTRACK=m
  5. CONFIG_IP_NF_FTP=m
  6. CONFIG_IP_NF_AMANDA=m
  7. CONFIG_IP_NF_TFTP=m
  8. CONFIG_IP_NF_IRC=m
  9. CONFIG_IP_NF_QUEUE=m
  10. CONFIG_IP_NF_IPTABLES=m
  11. CONFIG_IP_NF_MATCH_LIMIT=m
  12. CONFIG_IP_NF_MATCH_MAC=m
  13. CONFIG_IP_NF_MATCH_PKTTYPE=m
  14. CONFIG_IP_NF_MATCH_MARK=m
  15. CONFIG_IP_NF_MATCH_MULTIPORT=m
  16. CONFIG_IP_NF_MATCH_TOS=m
  17. CONFIG_IP_NF_MATCH_RECENT=m
  18. CONFIG_IP_NF_MATCH_ECN=m
  19. CONFIG_IP_NF_MATCH_DSCP=m
  20. CONFIG_IP_NF_MATCH_AH_ESP=m
  21. CONFIG_IP_NF_MATCH_LENGTH=m
  22. CONFIG_IP_NF_MATCH_TTL=m
  23. CONFIG_IP_NF_MATCH_TCPMSS=m
  24. CONFIG_IP_NF_MATCH_HELPER=m
  25. CONFIG_IP_NF_MATCH_STATE=m
  26. CONFIG_IP_NF_MATCH_CONNTRACK=m
  27. CONFIG_IP_NF_MATCH_UNCLEAN=m
  28. CONFIG_IP_NF_MATCH_OWNER=m
  29. CONFIG_IP_NF_FILTER=m
  30. CONFIG_IP_NF_TARGET_REJECT=m
  31. CONFIG_IP_NF_TARGET_MIRROR=m
  32. CONFIG_IP_NF_NAT=m
  33. CONFIG_IP_NF_NAT_NEEDED=y
  34. CONFIG_IP_NF_TARGET_MASQUERADE=m
  35. CONFIG_IP_NF_TARGET_REDIRECT=m
  36. CONFIG_IP_NF_NAT_AMANDA=m
  37. CONFIG_IP_NF_NAT_LOCAL=y
  38. CONFIG_IP_NF_NAT_SNMP_BASIC=m
  39. CONFIG_IP_NF_NAT_IRC=m
  40. CONFIG_IP_NF_NAT_FTP=m
  41. CONFIG_IP_NF_NAT_TFTP=m
  42. CONFIG_IP_NF_MANGLE=m
  43. CONFIG_IP_NF_TARGET_TOS=m
  44. CONFIG_IP_NF_TARGET_ECN=m
  45. CONFIG_IP_NF_TARGET_DSCP=m
  46. CONFIG_IP_NF_TARGET_MARK=m
  47. CONFIG_IP_NF_TARGET_LOG=m
  48. CONFIG_IP_NF_TARGET_ULOG=m
  49. CONFIG_IP_NF_TARGET_TCPMSS=m
  50. CONFIG_IP_NF_ARPTABLES=m
  51. CONFIG_IP_NF_ARPFILTER=m
  52. CONFIG_IP_NF_ARP_MANGLE=m
  53. # CONFIG_IP_NF_COMPAT_IPCHAINS is not set
  54. # CONFIG_IP_NF_COMPAT_IPFWADM is not set
  55. # CONFIG_IPV6 is not set
  56. # CONFIG_KHTTPD is not set
  57. # CONFIG_ATM is not set
  58. # CONFIG_VLAN_8021Q is not set
  59. # CONFIG_IPX is not set
  60. # CONFIG_ATALK is not set


 
 
dmesg :
 

ip_tables: (C) 2000-2002 Netfilter core team
ip_conntrack version 2.1 (4095 buckets, 32760 max) - 292 bytes per conntrack


Message édité par Klaimant le 21-11-2003 à 11:54:05

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 11:55:39    

iptables stable c'est 1.2.9, essaye de mettre à jour à tout hasard

Reply

Marsh Posté le 21-11-2003 à 11:56:54    

C'est pas la version qui va changer, et sous ma gentoo on en est encore à 1.2.8-r1 :jap:


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 11:57:57    

tu pourrais donner l'archi de ton réseau ? genre interface d'entrée et interface lan

Reply

Marsh Posté le 21-11-2003 à 11:59:50    

Module                  Size  Used by    Tainted: P  
ipt_state                568   9  (autoclean)
ipt_MASQUERADE          2072   0  (autoclean)
iptable_mangle          2136   0  (autoclean) (unused)
iptable_nat            25368   0  (autoclean) [ipt_MASQUERADE]
ip_conntrack           33064   2  (autoclean) [ipt_state ipt_MASQUERADE iptable_nat]
iptable_filter          1740   1  (autoclean)
ip_tables              16160   7  [ipt_state ipt_MASQUERADE iptable_mangle iptable_nat iptable_filter]
nvidia               1631616  11  (autoclean)
sr_mod                 15800   0  (autoclean) (unused)
ppp_synctty             6816   0  (unused)
ppp_async               8032   1  
printer                 7776   0  (unused)
scanner                10716   0  (unused)
usb-ohci               19784   0  (unused)
usbcore                65792   1  [printer scanner usb-ohci]
ide-scsi               10512   0  
emu10k1                61032   0  
soundcore               4324   4  [emu10k1]
ac97_codec             13676   0  [emu10k1]


 
Mon réseau c'est :  
 
Internet ------ [eth0] ppp0 Ma machine [eth1] ------ Mon futur portable que je vais chercher dimanche :)


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 12:00:26    

iptables -t NAT -L donne quelque chose ?

Reply

Marsh Posté le 21-11-2003 à 12:01:12    

iptables -t NAT -L  
 
iptables v1.2.8: can't initialize iptables table `NAT': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 12:01:22    

hein hein :/


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 12:01:28    

eth1 est up ?
 
edit: bon c niveau noyau là c'est clair :D


Message édité par void_ppc le 21-11-2003 à 12:02:34
Reply

Marsh Posté le 21-11-2003 à 12:04:26    

root@RoGeR utils # iptables -t nat -L  
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination          
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination          
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Marsh Posté le 21-11-2003 à 12:07:17    

oups faute de casse

Reply

Marsh Posté le 21-11-2003 à 12:07:47    

iptables -t nat -L -v
nat en minuscule...
 
edit: je le dis et je le répète sous gentoo on a qq problème parfois qd on change de noyau... il faut re-emerge iptables. Si je dis ça c que ça donne les _mêmes_ symptômes


Message édité par grosminet le 21-11-2003 à 12:10:31
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed