IPTABLES avec MASQUERADE
IPTABLES avec MASQUERADE - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 07-04-2006 à 12:36:18
desolé. je me suis trompé c'est echo 1> /proc/sys/net/ipv4/ip_forward.
Marsh Posté le 07-04-2006 à 12:42:44
Re j'ai vraiment oublié de mettre d'autres informations.
Donc du coté reseau interne (192.168.0.X) : je peux aller sur tous les sites webs sauf celui (www.enst-bretagne.fr y en a peut etre d'autres mais j'ai deja trouvé celui la). La resolution dns ce fait bien mais je peux pas pingé le site web...
Mais de mon firewall je peux acceder a ce site il repond au ping et la page web s'affiche. Donc c'est que ma regles iptable de POSTROUTING n'est pas correcte ?
Merci de me dire quoi faire...
Marsh Posté le 07-04-2006 à 15:43:12
| notornis a écrit : -o eth0 |
Merci de ta réponse mais je l'ai deja essayé... sans succès. Une autre idée ?
Marsh Posté le 07-04-2006 à 16:09:50
quelqu'un aurait un site web avec une IP public commencant par 192.X.X.X ??
Marsh Posté le 07-04-2006 à 20:34:05
le -A ou -I ne change rien. Le -I insert la regle a une position donnée et le -A l'ajoute a la suite. Donc comme j'ai pas de regle pour le POSTROUTING un -I ou -A ne change rien... mais merci quand meme. Personne n'a d'autre idée ? car je test tout les solutions possibles mais je trouve pas. Personne connait un logiciel libre permettant de suivre l'evolution d'un paquet dans un reseaux ?
Marsh Posté le 07-04-2006 à 20:49:42
| charles84 a écrit : le -A ou -I ne change rien. Le -I insert la regle a une position donnée et le -A l'ajoute a la suite. Donc comme j'ai pas de regle pour le POSTROUTING un -I ou -A ne change rien... mais merci quand meme. Personne n'a d'autre idée ? car je test tout les solutions possibles mais je trouve pas. Personne connait un logiciel libre permettant de suivre l'evolution d'un paquet dans un reseaux ? |
comment ca "ne change rien" 
la regle que tu as donné au debut est fausse , alors excuse moi mais ajouter un -A devant POSTROUTING pour obtenir une regle syntaxiquement correct, ca change tout !!
Message édité par notornis le 07-04-2006 à 20:50:36
Marsh Posté le 07-04-2006 à 22:32:33
ah oui pardon... j'ai oublié de mettre le -I devant POSTROUTING... desolé voila pourquoi j'ai parlé du -I. Excuse moi
Marsh Posté le 07-04-2006 à 22:32:58
mais le -I je l'avais mis dans IPTABLES... donc ca ne resout pas mon probleme...
Marsh Posté le 08-04-2006 à 17:35:44
la syntaxe correcte est
Code :
|
efface la règle d'avant et met celle là à la place , dis nous ce que ça donne
Marsh Posté le 09-04-2006 à 15:00:09
Je suis desolé Tux85... mais ca ne donne rien j'ai toujours le meme probleme. Je me demande si c'est pas un probleme de netmask. Mais j'ai deja tout essayé sur ma carte eth0 j'ai essayé 255.0.0.0 et 255.255.255.0 mais sur eth1 j'ai toujours laissé 255.255.255.0. Donc quelqu'un a deja eu ce probleme ?
Marsh Posté le 09-04-2006 à 21:18:06
j'ai bien lu le site web...mais j'ai pas trouvé de solution a mon probleme..j'ai tout appliqué ce qui est expliqué. Personne n'a deja eu ce probleme ? car c'est un probleme de routage mais de quoi ?? mystere !!
Marsh Posté le 09-04-2006 à 21:23:33
voici ma table de routage de mon firewall :
route -n
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
10.0.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 10.0.0.138 0.0.0.0 UG 0 0 0 eth0
Marsh Posté le 09-04-2006 à 22:00:04
houla , probleme .
Bon deja quel est l'interface pour aller sur le net ?
Marsh Posté le 09-04-2006 à 22:56:44
ben eth0 va sur le net via un routeur/modem (10.0.0.138) et eth1 est mon reseau local (192.168.0.X). Mes machines local ont donc comme adresse ip : 192.168.0.X / passerelle : 192.168.0.1 et comme DNS : 10.0.0.138. Donc est qu il y a un probleme?
Marsh Posté le 10-04-2006 à 01:04:56
ca sert a quoi ce : 169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1 ? ( a mon avis a rien)
Sinon , ca a l'air bon .
Montre nous ton script iptables stp
Message édité par ipnoz le 10-04-2006 à 01:05:21
Marsh Posté le 10-04-2006 à 23:37:55
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- anywhere anywhere tcp dpt:3388 to:192 .168.0.10
DNAT tcp -- anywhere anywhere tcp dpt:3389 to:192 .168.0.2
DNAT tcp -- anywhere anywhere tcp dpt:ssh to:10.0 .0.1
DNAT tcp -- anywhere anywhere tcp dpt:ftp-data to :10.0.0.1
DNAT tcp -- anywhere anywhere tcp dpt:ftp to:10.0 .0.1
Marsh Posté le 10-04-2006 à 23:38:34
Concernant le routage de 169.254.0.0 je sais pas comment le retirer ?
Marsh Posté le 11-04-2006 à 11:41:48
Tu n'aurais pas un client dhcp sur une carte réseau ? (genre NetworkManager qui cherche un serveur ou autre ?)
Marsh Posté le 11-04-2006 à 16:55:46
Non j'ai pas de dhcp d'installer sur mon serveur... donc ca commence a me saouler ce probleme de routage... si quelqu'un a la solution...ca me soulagerai..!!
Marsh Posté le 11-04-2006 à 20:28:54
Faut-il que je fournisse d'autre log ou more de script ??
Marsh Posté le 11-04-2006 à 22:46:16
Une petite question, quand tu dis :
| Citation : Jusque la tout va bien ... sauf .... |
je ne peux pas acceder a un site
ça se passe sur la passerelle Linux ou sur un client lambda ?
si c'est un client lambda alors verifie son masque de sous réseau car il y a de forte chance qu'il soit foireux (style 255.0.0.0) alors qu'il devrait être généralement en 255.255.255.0
Marsh Posté le 11-04-2006 à 22:48:49
franchement la honte... j'ai un diplome DUT Génie Télécommunications & Réseaux... je suis trop degouté j etais persuadé que ca venait de mon firewall j'ai pas vérifié ma connexion reseau de mes client... CHAPEAU A TOI JLIGHTY. Ta de l'avenir ... lol..enfin merci beaucoup...
CONCLUSION : je suis une biloute !!!
Marsh Posté le 11-04-2006 à 22:53:53
Tu aurais dû préciser que ça arrivait sur tes clients et non ta passerelle, ainsi tu aurais eu ta réponse beaucoup plus tôt puisque les problèmes de sites injoignables avec une IP en 192.x.x.x sont généralement dû à un problème de masque sous réseau 
Message édité par jlighty le 11-04-2006 à 22:54:20
Marsh Posté le 11-04-2006 à 22:57:44
oué je m'en doutais mais j'ai pas pensé a mes clients... la prochaine fois je me ferai plus avoir. Merci encore.
Sujets relatifs:
- Multiposte (free tv) >> configuration de Arno's iptables
- Iptables, restreindre l'acces internet pour certains postes
- [Debian / IPTables] Création du script ?
- Options Squid et IPtables intéressantes pour une entreprise
- IPTABLES et redirection vers plusieurs ips simultanément
- Règles iptables avec fwbuilder
- [firewall Iptables] accés proxy et dns
- probleme iptables
- Problème Iptables et masquerade
- [IpTables] Problème de masquerade [Résolu] Gentoo était le problème...
Marsh Posté le 07-04-2006 à 12:02:16
Bonjour,
je ne peux pas acceder a un site www.enst-bretagne.fr (c'est un exemple) et lorsque je regarde son IP public je me rend compte quelle commence par 192.108.X.X
J'ai créé un firewall avec une station linux (sous fedora core 4). J'ai mis sur celui ci 2 cartes reseaux. La premiere eth0 est relié a un modem ethernet et la deuxieme eth1 est relié a mon reseau local. eth0 : 10.0.0.1 (modem : 10.0.0.138) / eth1 : 192.168.0.1 et le reseau interne 192.168.0.X.
J'ai mis un firewall avec iptables sur la station linux avec en regle POSTROUTING : iptables -t nat POSTROUTING -j MASQUERADE. Cette regle permet d'avoir une translation d'adresse pour que mon reseau interne puisse acceder a internet. Pour commencer j'ai mis les regles INPUT/ OUTPUT/ FORWARD ouvert (elles acceptent tous). Jusque la tout va bien ... sauf ....
Est ce que il y aurai a cause de l'adresse ip du site web, qui est proche de celle privé, un probleme de routage ?
PS : j'ai aussi mis cette option: echo 1 > /proc/sys/net/ipv6/ip_forward
Merci de me dire quoi faire.