iptables: FORWARD forward bizarrement

iptables: FORWARD forward bizarrement - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 13-05-2010 à 17:19:18    

Bonjour,
 
J'ai un Debian sur un IBM xSeries 335, j'essaie de crée un NAT de base (eth0:wan), mais il ne forward pas correctement les packets. Je pense avoir activé les variables nécessaires (echo 1 > /proc/sys/net/ipv4/ip_forward)
 

Code :
  1. /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  2. /sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
  3. /sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT


 

Code :
  1. lilith:~# cat /etc/network/interfaces
  2. auto lo eth0 eth1
  3. iface lo inet loopback
  5. allow-hotplug eth0
  6. iface eth0 inet dhcp
  8. allow-hotplug eth1
  9. iface eth1 inet static
  10.         address 192.168.0.1
  11.         netmask 255.255.0.0
  12.         broadcast 192.168.255.255
  13.         network 192.168.0.0


 
 
Lorsque sur un client connecté dans le réseau je fais : (sniff)

Code :
  1. GET /firefox HTTP/1.1
  2. Host: www.google.be
  3. ...


 
J'obtiens comme réponse:

Code :
  1. rder=0><tr><td bgcolor="#ababa


 
 
J'espère que quelqu'un pourra me donner une idée d'angle de recherche. Merci d'avance  :D
 

Code :
  1. lilith:~# uname -a
  2. Linux lilith 2.6.26-2-686 #1 SMP Tue Mar 9 17:35:51 UTC 2010 i686 GNU/Linux


Message édité par aldagar le 13-05-2010 à 17:20:11
Reply

Marsh Posté le 13-05-2010 à 17:19:18   

Reply

Marsh Posté le 13-05-2010 à 17:30:43    

Bonjour.
Ton NAT est correctement configuré par contre je ne comprend pas ton test. Tu peux être plus précis (outils, méthode, test réellement fait)

 


sinon peux tu faire exactement les commandes suivantes sur un équipement branché sur eth1 :

 

/sbin/route -n
/sbin/ifconfig -a
cat /etc/resolv.conf
host -a www.google.com
ping -c1 www.google.com
traceroute -n www.google.com


et copier les résultats ici.


Message édité par o'gure le 13-05-2010 à 17:31:10

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 13-05-2010 à 18:36:19    

Je me suis peut-être pas très bien exprimé :ange:  
Lorsqu'un client sur le réseau (côté eth1 du serveur donc) essaie d'obtenir une page web (machine Windows), il ne se passe rien, ce pourquoi j'ai sniff le trafique (cf plus haut)
 
 
Voici les commandes depuis un pc client (pas la passerelle donc)
 

Code :
  1. christophe@fraise:~$ /sbin/route -n
  2. Kernel IP routing table
  3. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  4. 192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
  5. 0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0


Code :
  1. christophe@fraise:~$ /sbin/ifconfig -a
  2. eth0      Link encap:Ethernet  HWaddr 00:0e:a6:48:30:c9
  3.           inet addr:192.168.0.4  Bcast:192.168.255.255  Mask:255.255.0.0
  4.           inet6 addr: fe80::20e:a6ff:fe48:30c9/64 Scope:Link
  5.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
  6.           RX packets:106 errors:0 dropped:0 overruns:0 frame:0
  7.           TX packets:128 errors:0 dropped:0 overruns:0 carrier:0
  8.           collisions:0 txqueuelen:1000
  9.           RX bytes:10245 (10.0 KiB)  TX bytes:15101 (14.7 KiB)
  10.           Interrupt:22
  11. ...


Code :
  1. christophe@fraise:~$ cat /etc/resolv.conf
  2. domain fraise.lan
  3. search fraise.lan
  4. nameserver 192.168.0.1


Code :
  1. christophe@fraise:~$ host -a www.google.com
  2. www.google.com          CNAME   www.l.google.com
  3. www.l.google.com        A       74.125.77.104
  4. www.l.google.com        A       74.125.77.147
  5. www.l.google.com        A       74.125.77.99


Code :
  1. christophe@fraise:~$ ping -c1 www.google.com
  2. PING www.l.google.com (74.125.77.104) 56(84) bytes of data.
  3. 64 bytes from ew-in-f104.1e100.net (74.125.77.104): icmp_seq=1 ttl=53 time=26.0 ms
  5. --- www.l.google.com ping statistics ---
  6. 1 packets transmitted, 1 received, 0% packet loss, time 0ms
  7. rtt min/avg/max/mdev = 26.082/26.082/26.082/0.000 ms


Code :
  1. christophe@fraise:~$ traceroute -n www.google.com
  2. traceroute to www.google.com (74.125.77.99), 30 hops max, 60 byte packets
  3. 1  192.168.0.1  0.146 ms  0.121 ms  0.113 ms
  4. 2  78.20.144.1  6.913 ms  11.562 ms  11.469 ms
  5. 3  213.224.195.1  15.295 ms  15.295 ms  15.296 ms
  6. 4  213.224.253.65  13.120 ms  13.131 ms  13.170 ms
  7. 5  213.224.253.169  13.095 ms  13.070 ms  13.807 ms
  8. 6  64.215.25.237  14.294 ms  14.026 ms  14.026 ms
  9. 7  72.14.198.17  25.811 ms  21.690 ms  22.616 ms
  10. 8  209.85.254.250  20.849 ms  22.578 ms 209.85.254.92  25.149 ms
  11. 9  64.233.175.246  28.128 ms 72.14.233.114  47.304 ms  49.848 ms
  12. 10  209.85.255.166  27.441 ms  26.836 ms 72.14.239.197  28.985 ms
  13. 11  209.85.255.110  29.305 ms 209.85.255.102  28.883 ms  28.867 ms
  14. 12  74.125.77.99  25.190 ms  24.682 ms  29.084 ms


Message cité 1 fois
Reply

Marsh Posté le 13-05-2010 à 18:42:19    

aldagar a écrit :

Je me suis peut-être pas très bien exprimé :ange:  
Lorsqu'un client sur le réseau (côté eth1 du serveur donc) essaie d'obtenir une page web (machine Windows), il ne se passe rien, ce pourquoi j'ai sniff le trafique (cf plus haut)


C'est déjà un poil plus précis.
Tu n'as que ce bout de donnée ou tu en as d'autres ?  
Quel outils as tu utilisé pour ta capture réseau et où tu l'as fait (sur un équipement qui pose problème, en coupure, sur hub ?)
Dans ton outils de capture, vois tu un problème de MTU ?  
Seule des machines windows ont ce problème ou toutes les machines de ton réseau ?
Ce problème est arrivé "comme ça" alors que ça fonctionnait avant ou c'est suite à une manipulation sur le réseau ?
 
(les différents tests montrent que ta connectivité fonctionne correctement)


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 13-05-2010 à 18:50:43    

Je n'ai bien que ce bout de données.
J'ai ce problème depuis toujours (nouvelle machine comme serveur - avec l'ancien tout fonctionnait). Les packets capturés l'étaient avec EtherDetect sur le client même (Windows)
Sur ce même client, je tentais une connexion sur https://www.gmail.com (port 443 donc) (c'était le sniff plus haut)
 
Une autre machine du réseau (Linux)

Code :
  1. fraise:~# wget https://www.google.com
  2. --2010-05-13 18:44:04--  https://www.google.com/
  3. Resolving www.google.com... 74.125.79.147, 74.125.79.99, 74.125.79.104
  4. Connecting to www.google.com|74.125.79.147|:443... connected.
  6. Puis plus rien


Code :
  1. fraise:~# wget www.google.be
  2. --2010-05-13 19:00:48--  http://www.google.be/
  3. Resolving www.google.be... 74.125.77.99, 74.125.77.104, 74.125.77.147
  4. Connecting to www.google.be|74.125.77.99|:80... connected.
  5. HTTP request sent, awaiting response...
  7. Puis plus rien


 
 
Par contre, je viens de remarquer que si j'ouvre une connexion sur le port 21, cela fonctionne, peu importe le client. Les clients MSN savent aussi se connectés (port 1863)

Code :
  1. fraise:~# telnet ftp.free.fr 21
  2. Trying 212.27.60.27...
  3. Connected to ftp.proxad.net.
  4. Escape character is '^]'.
  5. 220 Welcome to ProXad FTP server


 
 
En sniffant mon mail agent:

Code :
  1. * OK Dovecot ready.
  2. 1 capability
  3. * CAPABILITY IMAP4rev1 SASL-IR SORT THREAD=REFERENCES MULTIAPPEND UNSELECT LITERAL+ IDLE CHILDREN NAMESPACE LOGIN-REFERRALS STARTTLS LOGINDISABLED
  4. 1 OK Capability completed.
  5. 2 STARTTLS
  6. 2 OK Begin TLS negotiation now.
  7. ....Ž...Š..Kì/:VÌÙ3¢¦äZ.#–Qx ìmˆxÅ(P«Ì?•.W..8À
  8. À..9.8À.À..5À.À.À.À..3.2À.À.À.À....../À.À.....À
  9. À.þÿ.
  10. ...).........r2xxxx.ovh.net.
  11. ................


 
Dès que la transaction deviens chiffrée (TLS), tout s'arrète
 
 
Sur la machine serveur, il y a un Squid installé dessus, lorsque je passe par le proxy (non transparent), toutes les opérations fonctionnes: HTTP, HTTPS


Message édité par aldagar le 13-05-2010 à 19:07:46
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed