Probleme reseau ss linux mandrake Fermé

Question

Bonjour,

j'ai actuellement trois pc :

un sous linux (appelons le mdk)
et deux sous XP (appelons les xp1 et xp2)

je souhaite que mdk soit relié à internet via mon modem USB sagem fast 908
et qu'il partage la connection au reseau local pour que mes pc xp1 et xp2 puissent aussi y acceder.

j'arrive à configurer mon reseau local , mais une fois que je configure internet, plus rien ne marche.

inversement si je commence par configurer internet, cela fonctionne (la preuve je suis sur mdk) mais des que je veux configurer mon reseau plus rien ne marche.

j'ai essayer de pinger mes machines une fois que plus rien en marche resultat 100 % des paquets perdu

j'ai taper ifconfig en etant root et le pc mdk me reconnait bien PPP0(adsl) et eth0 avec chacun une adresse iP

lorsque je tente de pinger ces adresses : 100 % des paquets perdu

de plus je viens de changer de version de linux , n'y arrivant pas ss madrake 10.0 j'ai installer mandrake 10.1

Sinon j'ai aussi un probleme de carte reseau inexistante :
linux me trouve un eth1 qui semble etre une copie conforme de eth0,
le probleme c'est que eth1 n'est pas dans ma config materiel (centre de controle mandrake linux => materiel)
je me demande si eth1 n'est pas la prise ethernet du modem .

merci d'avance pour votre aide

Comperta

jipicy · Answer

Salut,je me demande si eth1 n'est pas la prise ethernet du modem . Si. Les modems USB sont émulés comme des cartes réseau.Que renvoie la commande :ifconfigen root, ou/sbin/ifconfigen tant qu'utilisateur ?La doc de Mandrake 10 est sortie, fais-y un tour pour ta connexion et ton partage, tout est expliqué là :http://doc.mandrakelinux.com/MandrakeLinux/100/fr/Starter.html/mcc-network.html;-))Z'@+...che.JP : Zen, my Nuggets ! ;-)

jipicy · Answer

Re-par contre j'arrive à pinger mes deux adresses (reseau local (192.168.1.1) et internet (82.65.64.21) ) Si tu pinges le Net c'est que ta connexion est bonne, par contre c'est un problème de DNS alors !Regarde ce que tu as dans le fichier "/etc/resolv.conf". Tu devrais y trouver un truc du genre :nameserver xxx.xxx.xxx.xxxnameserver xxx.xxx.xxx.xxxOu "xxx.xxx.xxx.xxx" correspond au serveur DNS de ton FAI.;-))Z'@+...che.JP : Zen, my Nuggets ! ;-)

comperta · Answer

re

j'ai donc mis les DNS par defaut donné par free a savoir :

212.27.32.176
212.27.32.177

et la aucun changement

par contre j'ai oublié un petit detail :
je pinge le net effectivement mais mon probleme c'est qu'il me met :
impossible de joindre l'hôte de destination

mais il considerer qu'il y a 0 paquets de perdu

j'aitrouvé un moyen d' eviter ce probleme , mais cela me bloque mon reseau local :

j'utilise la comande suivante :

$ route add default gw yyy.yyy.yyy.yyy ppp0

ou yyy.yyy.yyy.yyy represente mon ip adsl trouvé grace a ifconfig :
inet adress : yyy.yyy.yyy.yyy

je retrouve ma connection internet mais tjs pas ce satané reseau
si je refait un ifconfig j'obtient :

eth0      Lien encap:Ethernet  HWaddr 00:02:B3:29:22:0E
          inet adr:192.168.0.1  Bcast:192.168.0.255  Masque:255.255.255.0
          adr inet6: fe80::202:b3ff:fe29:220e/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:62 errors:0 dropped:0 overruns:0 frame:0
          TX packets:354 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:6407 (6.2 Kb)  TX bytes:23236 (22.6 Kb)
          Interruption:12 Adresse de base:0xf000

eth1      Lien encap:Ethernet  HWaddr 00:60:4C:3F:13:49
          adr inet6: fe80::260:4cff:fe3f:1349/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:65535  Metric:1
          RX packets:1642 errors:0 dropped:0 overruns:0 frame:0
          TX packets:306 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:311730 (304.4 Kb)  TX bytes:30203 (29.4 Kb)

lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:409 errors:0 dropped:0 overruns:0 frame:0
          TX packets:409 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:42692 (41.6 Kb)  TX bytes:42692 (41.6 Kb)

ppp0      Lien encap:Protocole Point-à-Point
          inet adr:82.65.117.42  P-t-P:192.168.254.254  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:1612 errors:0 dropped:0 overruns:0 frame:0
          TX packets:270 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:3
          RX bytes:308071 (300.8 Kb)  TX bytes:23371 (22.8 Kb)

si je fais ping www.google.fr j'obtient :

PING www.google.akadns.net (64.233.161.104) 56(84) bytes of data.
64 bytes from 64.233.161.104: icmp_seq=1 ttl=248 time=143 ms
64 bytes from 64.233.161.104: icmp_seq=2 ttl=248 time=151 ms
64 bytes from 64.233.161.104: icmp_seq=3 ttl=248 time=143 ms

--- www.google.akadns.net ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2001ms
rtt min/avg/max/mdev = 143.443/146.271/151.583/3.784 ms

PING 212.227.127.73 (212.227.127.73) 56(84) bytes of data.
64 bytes from 212.227.127.73: icmp_seq=1 ttl=52 time=74.5 ms
64 bytes from 212.227.127.73: icmp_seq=2 ttl=52 time=66.3 ms

--- 212.227.127.73 ping statistics ---
3 packets transmitted, 2 received, 33% packet loss, time 2002ms
rtt min/avg/max/mdev = 66.352/70.462/74.573/4.119 ms

j'en deduis donc que niveau adsl ma connection est ok, avec les dns bien renseigné !!

par contre niveau reseau local :
je pinge ma machine xp et j'obtient :

PING 192.168.0.4 (192.168.0.4) 56(84) bytes of data.
64 bytes from 192.168.0.4: icmp_seq=1 ttl=128 time=0.352 ms
64 bytes from 192.168.0.4: icmp_seq=2 ttl=128 time=0.229 ms

--- 192.168.0.4 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1000ms
rtt min/avg/max/mdev = 0.229/0.290/0.352/0.063 ms

mais a partir d'xp vers linux , j'ai tjs le message impossible de joindre l'hôte de destination

de plus en utilisant la fonction smb:/// dans nautilus je devrais voir les pc de mon reseau local ,et la je vois rien ...

si vous avez une idée ....

merci encore jipicy du temps que tu passe pour mon probleme

Comperta

François · Answer

Ben... pour moi, ça ressemble tout à fait à un problème de routage, ce qui est confirmé par la manip de Comperta quelques posts plus haut.

Je suis sous la 10.1 et j'ai en effet aussi eu le problème de la table de routage qui ne se met pas à jour... et après recherches, il s'est avéré que la cause en était la configuration de ma carte eth0 pour laquelle j'avais spécifié une adresse de passerelle par défault.

Bref, faites un essaie de modifier vos connexions ethX en supprimant la passerelle par défaut (laisser le champ vide) et pour chaque modification faire "Appliquer" et "OK". (Oui c'est un peu long, mais un autre bug fait qui si on en change plusieurs, seule la dernière est enregistrée!)

Après avoir modifié les ethX, terminer par la reconfiguration de ppp0.

En cas de souci, la premire chose à voir, c'est la commande "route" pour vérifier qu'il a bien pris la route par défaut vers ppp0.

s'il manque des routes, un ifconfig sera toujours utile pour vérifier que toutes les interfaces sont bien démarrées!

Durand Daniel · Answer

François,

You are the best !

Je partage de nouveau ma connection ADSL entre le PC Mandrake 10.1 et un portable Mandrake 10.0, un PC Win98, un portable Win XP.
Par contre au niveau réseau, je ne vois rien à partir de mon PC central.
Par contre le réseau fonctionne entre mes postes sous windows e tmon portable sous Linux. depuis windows, je peux entre dans ce portable Linux. Par contre de ce portable Linux, configuré en serveur Samba, je vois les postes windows mais nepeux entrer dedans;
Comment configurer avec l'interface graphique de préférence mon poste principal sous Mandrake 10.1 pour faire fonctionner le réseau à partir de lui.

comperta · Answer

Donc se srait un bete probleme de routage, j'aurais du continuer a explorer cette piste.

Un Grand Merci Pour l'info et pour votre aide

je rentre chez moi et je test ça, peut etre apres avoir reinstallé mandrake (histoire de repartir d'une version propre, car là mon adsl 2048 ressemble presque à une connection bas debit)

Comperta

Durand Daniel · Answer

Bonjour,

je reposte car mon message précédent était confus.
1/ j'ai réglé le problème de partage de connexion
2/ je n'ia pas réglé mon problème de réseau : impossible de pinguer les autres postes et vis de versa
3/ j'ai toujours un problème bizarre :
impossible de me connecter au site hébergeur d emon nom de domaine ni de relever le courrier (alors que je peux le faire sous windows) :
si je pingue le site, voici le résultat :
bash-2.05b$ ping citeglobe.com
PING citeglobe.com (216.187.90.69) 56(84) bytes of data.
64 bytes from www.citeglobe.com (216.187.90.69): icmp_seq=1 ttl=234 time=156 ms
64 bytes from www.citeglobe.com (216.187.90.69): icmp_seq=2 ttl=234 time=152 ms
64 bytes from www.citeglobe.com (216.187.90.69): icmp_seq=3 ttl=234 time=153 ms
64 bytes from www.citeglobe.com (216.187.90.69): icmp_seq=4 ttl=234 time=153 ms
64 bytes from www.citeglobe.com (216.187.90.69): icmp_seq=5 ttl=234 time=153 ms
64 bytes from www.citeglobe.com (216.187.90.69): icmp_seq=6 ttl=234 time=154 ms
64 bytes from www.citeglobe.com (216.187.90.69): icmp_seq=7 ttl=234 time=154 ms

--- citeglobe.com ping statistics ---
7 packets transmitted, 7 received, 0% packet loss, time 6004ms
rtt min/avg/max/mdev = 152.884/154.113/156.169/1.020 ms

Ou est l'erreur ?

Daniel

François · Answer

Firewall... (enfin, je pense!)

Si tes window$ passent et que ton ping passe depuis linux, ben... alors ta connexion est bonne et la tables de routage et bonne. Je ne vois donc plus que je firewall.

(Idem pour tes problèmes internes : n'y a-t-il pas un firewall XP qui traîne par là...?!)

Si tu as iptables sur ton linux (je suppose si tu partage ta connexion), alors un petit "iptables -L" devrait donner un bon résumé.

Durand Daniel · Answer

Effectivement, il semble y avoir un problème. J'ai l'impression que l'outil firewall de Mandrake ne garde pas les exceptions que l'on rentre et bloque tout.
Est-ce cela ?

[root@pucs-4ak8@9onlineadsl512 durand_gnome]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP !icmp -- anywhere anywhere state INVALID
ppp_in all -- anywhere anywhere
eth0_in all -- anywhere anywhere
eth1_in all -- anywhere anywhere
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:INPUT:REJECT:'
reject all -- anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
DROP !icmp -- anywhere anywhere state INVALID
ppp_fwd all -- anywhere anywhere
eth0_fwd all -- anywhere anywhere
eth1_fwd all -- anywhere anywhere
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:FORWARD:REJECT:'
reject all -- anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP !icmp -- anywhere anywhere state INVALID
fw2net all -- anywhere anywhere
fw2loc all -- anywhere anywhere
fw2loc all -- anywhere anywhere
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:OUTPUT:REJECT:'
reject all -- anywhere anywhere

Chain Drop (1 references)
target prot opt source destination
RejectAuth all -- anywhere anywhere
dropBcast all -- anywhere anywhere
dropInvalid all -- anywhere anywhere
DropSMB all -- anywhere anywhere
DropUPnP all -- anywhere anywhere
dropNotSyn all -- anywhere anywhere
DropDNSrep all -- anywhere anywhere

Chain DropDNSrep (2 references)
target prot opt source destination
DROP udp -- anywhere anywhere udp spt:domain

Chain DropSMB (1 references)
target prot opt source destination
DROP udp -- anywhere anywhere udp dpt:135
DROP udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
DROP udp -- anywhere anywhere udp dpt:microsoft-ds
DROP tcp -- anywhere anywhere tcp dpt:135
DROP tcp -- anywhere anywhere tcp dpt:netbios-ssn
DROP tcp -- anywhere anywhere tcp dpt:microsoft-ds

Chain DropUPnP (2 references)
target prot opt source destination
DROP udp -- anywhere anywhere udp dpt:1900

Chain Reject (4 references)
target prot opt source destination
RejectAuth all -- anywhere anywhere
dropBcast all -- anywhere anywhere
dropInvalid all -- anywhere anywhere
RejectSMB all -- anywhere anywhere
DropUPnP all -- anywhere anywhere
dropNotSyn all -- anywhere anywhere
DropDNSrep all -- anywhere anywhere

Chain RejectAuth (2 references)
target prot opt source destination
reject tcp -- anywhere anywhere tcp dpt:auth

Chain RejectSMB (1 references)
target prot opt source destination
reject udp -- anywhere anywhere udp dpt:135
reject udp -- anywhere anywhere udp dpts:netbios-ns:netbios-ssn
reject udp -- anywhere anywhere udp dpt:microsoft-ds
reject tcp -- anywhere anywhere tcp dpt:135
reject tcp -- anywhere anywhere tcp dpt:netbios-ssn
reject tcp -- anywhere anywhere tcp dpt:microsoft-ds

Chain all2all (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Reject all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:all2all:REJECT:'
reject all -- anywhere anywhere

Chain dropBcast (2 references)
target prot opt source destination
DROP all -- anywhere anywhere PKTTYPE = broadcast
DROP all -- anywhere anywhere PKTTYPE = multicast

Chain dropInvalid (2 references)
target prot opt source destination
DROP all -- anywhere anywhere state INVALID

Chain dropNotSyn (2 references)
target prot opt source destination
DROP tcp -- anywhere anywhere tcp flags:!SYN,RST,ACK/SYN

Chain dynamic (6 references)
target prot opt source destination

Chain eth0_fwd (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
loc2net all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain eth0_in (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
loc2fw all -- anywhere anywhere

Chain eth1_fwd (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
loc2net all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain eth1_in (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
loc2fw all -- anywhere anywhere

Chain fw2loc (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

Chain fw2net (1 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT all -- anywhere anywhere

Chain icmpdef (0 references)
target prot opt source destination

Chain loc2fw (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp dpt:squid
ACCEPT tcp -- anywhere anywhere tcp dpt:squid
all2all all -- anywhere anywhere

Chain loc2net (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

Chain net2all (3 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Drop all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Shorewall:net2all:DROP:'
DROP all -- anywhere anywhere

Chain ppp_fwd (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
net2all all -- anywhere anywhere
net2all all -- anywhere anywhere

Chain ppp_in (1 references)
target prot opt source destination
dynamic all -- anywhere anywhere state INVALID,NEW
net2all all -- anywhere anywhere

Chain reject (11 references)
target prot opt source destination
DROP all -- anywhere anywhere PKTTYPE = broadcast
DROP all -- anywhere anywhere PKTTYPE = multicast
DROP all -- 192.168.1.255 anywhere
DROP all -- 255.255.255.255 anywhere
DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere
REJECT tcp -- anywhere anywhere reject-with tcp-reset
REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable
REJECT icmp -- anywhere anywhere reject-with icmp-host-unreachable
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited

Chain shorewall (0 references)
target prot opt source destination

Chain smurfs (0 references)
target prot opt source destination
LOG all -- 192.168.1.255 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- 192.168.1.255 anywhere
LOG all -- 255.255.255.255 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- 255.255.255.255 anywhere
LOG all -- BASE-ADDRESS.MCAST.NET/4 anywhere LOG level info prefix `Shorewall:smurfs:DROP:'
DROP all -- BASE-ADDRESS.MCAST.NET/4 anywhere
[root@pucs-4ak8@9onlineadsl512 durand_gnome]#

comperta · Answer

Moi j'ai toujours pas resolu mon probleme de partage et de reseau local !!

là je viens de reinstaller linux completement, pour repartir sur une base propre de toute manipulation, j'ai donc seulement configurer mon accés internet.

Pour le reseau local, je dois bien aller dans "configurer votre ordinateur"
=> reseau et internet=>nouvelle connexion ?

Car si je fais ça, et que je choisi LAN , je plante tous et je me retrouve de nouveau avec mon probleme !!

Comperta

comperta · Answer

bon j'ai configuere mon reseau, puis j'ai configuré le partage de connection (toujours dans le CCM (centre de controle mandrake) )

j'arrive maintenant a avoir internet sur mon pc linux , mais pas sur les autres pc , de plus le reseau local ne marche pas non plus :

voici ce que donne ifconfig :

eth0      Lien encap:Ethernet  HWaddr 00:02:B3:29:22:0E
          inet adr:192.168.1.1  Bcast:192.168.1.255  Masque:255.255.255.0
          adr inet6: fe80::202:b3ff:fe29:220e/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:63 errors:0 dropped:0 overruns:0 frame:0
          TX packets:57 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:8610 (8.4 Kb)  TX bytes:5716 (5.5 Kb)
          Interruption:12 Adresse de base:0x4000

eth1      Lien encap:Ethernet  HWaddr 00:60:4C:3F:13:49
          adr inet6: fe80::260:4cff:fe3f:1349/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:65535  Metric:1
          RX packets:559 errors:0 dropped:0 overruns:0 frame:0
          TX packets:452 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:378438 (369.5 Kb)  TX bytes:31894 (31.1 Kb)

lo        Lien encap:Boucle locale
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:210 errors:0 dropped:0 overruns:0 frame:0
          TX packets:210 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:16858 (16.4 Kb)  TX bytes:16858 (16.4 Kb)

ppp0      Lien encap:Protocole Point-à-Point
          inet adr:82.65.194.65  P-t-P:10.64.64.64  Masque:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:123 errors:0 dropped:0 overruns:0 frame:0
          TX packets:68 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:3
          RX bytes:64801 (63.2 Kb)  TX bytes:3799 (3.7 Kb)

et voici ce que donne la commande route :

Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
10.64.64.64     *               255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
default         10.64.64.64     0.0.0.0         UG    0      0        0 ppp0

je suis allé dans gerer mes connections, et Eth0 ne possede pas de passerel .

Pour mon Pc sous Xp ,j'aimerais savoir s'il y a une configuration specifique pour avoir acces a internet du pc linux ?

Comperta

François · Answer

Pour comperta :

Là ton linux semble être bon... ta connexion se fait bien et la table de routage est bonne. Tant que çà marche, profites-en pour faire une mise à jour, car ils ont déjà corrigé une série de bugs.

Normalement, si le partage via l'interface graphique n'est pas buggé, ça devrait passer...
Il te reste à vérifier tes machines XP : dans les options d'internet explorer, tu vires toutes les connexions, ou au moins cocher la puce "Ne jamais établir de connexion". Dans la partie "LAN", tu décoches tout. Normalement il devrait de lui même chercher la passerelle 192.168.0.1, mais comme ton linux est avec 192.168.1.1, vérifie que ton XP est bien dans la classe 192.168.1. et dans la config de ta carte réseau, mets la passerelle par défault à 192.168.1.1.

Pour Daniel :

Heu... là évidemment c'est shorewall et c'est nettement plus confus, comme tu peux t'en rendre compte toi-même.
Personellement, j'aime pas du tout shorewall... dumoins sous mandrake car il m'a déjà fait des sales coups!

Bref, comme tu as iptables sur ta machine, on va s'en servir...
Mais d'abord, pour ne pas tout virer à l'aveugle: via le panneau de contrôl, désactive le firewall.
Evidemment, il faut pas rester des heures comme çà... mais juste le temps de voir si çà marche ou pas.
Si après avoir désactivé le firewall çà passe, alors on te fera une petite config avec iptables.

Après avoir désactivé le firewall... tu testes juste ta machine linux, à fond pour être sûr que tout marche (si c'est le cas biens sûr!)

Si çà passe, tu testes ton réseau et tu reviens me dire quoi... là on avisera en fonction des résultats.

Durand Daniel · Answer

Ok, je vais désactiver le firewall mais normalement, alors le partage de connexion ne doit plus fonctionner ?Je te dis.DD

Durand Daniel · Answer

Firewall désactivé.La connection fonctionne toujours mais le partage non.Pas de changement pour le réseau.DDNb : je réactive le firewall

comperta · Answer

pour la mise a jour, il me dis que le media est mal configurer, dois obligatoirement configurer les paquetages via le site suite suivant :

http://easyurpmi.zarb.org/

Comperta qui s'occupe de xp pour la configuration

Durand Daniel · Answer

Bonjour,

J'ai eu une semaine chargée en déplacements divers d'où mon silence radio. j'ai lu avec intérêt les échanges. J'ai envie aussi de virer shorewall et d'installer iptables.
Quel fichier iptables dois-je installer : quelles différences avec celui donné à Compera ?
ma config est la suivante :
- connexion ADSL sur un poste LInux : ppp0 sur carte eth0
- lien avec une deuxième carte eth1 à mon réseau comprenant un poste windows et un poste linux (portables)
- donc beoin de partage de connexion, de communication réseau entre postes Linux et Windows.

Merci d'avance pour la patience et l'attention, Françaois.

Daniel

Durand Daniel · Answer

Bonjour,

J'ai modifié et sauvé iptables. désinstallé shorewall

j'ai redonné une IP fixe aux deux autres ordis du réseau sous windows (192.168.1.5 et 192.168.1.9).
J'ai tout arrté et tout redémarré.
Voila la situation :
- connection internet sur post eprincipal : OK
- pas de partage de connection sur les deux autres postes pourtant la commande de forwarding renvoie bien 1
- réseau : les postes windows sont atteints sous Nautilus avec un partage Samba
- le poste principal Linux n'est pas visible depuis les postes windows.
- toujours pas possible d'atteindre le site durand-amd.net et de relever le courrier alors qu'il est pingué

donc en remettant des IP fixes su rles deux postes clients, je n'ai pas de partages mais ils sont vus en réseau ??

Daniel
voci iptables -L
[root@pucs-4ak8@9onlineadsl512 durand_gnome]# iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
****************************************************************
voici ifconfig
[root@pucs-4ak8@9onlineadsl512 durand_gnome]# ifconfig
eth0 Lien encap:Ethernet HWaddr 00:E0:7D:8E:38:54
adr inet6: fe80::2e0:7dff:fe8e:3854/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2378 errors:0 dropped:0 overruns:0 frame:0
TX packets:1747 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:871814 (851.3 Kb) TX bytes:156633 (152.9 Kb)
Interruption:11

eth1 Lien encap:Ethernet HWaddr 00:50:FC:53:59:38
inet adr:192.168.1.1 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::250:fcff:fe53:5938/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1107 errors:0 dropped:0 overruns:0 frame:0
TX packets:459 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:137661 (134.4 Kb) TX bytes:54398 (53.1 Kb)
Interruption:10 Adresse de base:0x2000

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:188 errors:0 dropped:0 overruns:0 frame:0
TX packets:188 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:14130 (13.7 Kb) TX bytes:14130 (13.7 Kb)

ppp0 Lien encap:Protocole Point-à-Point
inet adr:84.97.72.193 P-t-P:84.97.72.1 Masque:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:2200 errors:0 dropped:0 overruns:0 frame:0
TX packets:1565 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:3
RX bytes:812660 (793.6 Kb) TX bytes:111131 (108.5 Kb)
*************************************************************************

la commande route
[root@pucs-4ak8@9onlineadsl512 durand_gnome]# route
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
84.97.72.1 * 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 84.97.72.1 0.0.0.0 UG 0 0 0 ppp0
******************************************************************

Durand Daniel · Answer

On progresse :

1/ - j'ai mis les DNS de mon provider sur mes deux postes windows. Le partage internet refonctionne de nouveau : bravo !

2/ - question réseau : depuis windows XP et windows 98, je peux pinguer le poste Linux par "exécuter..." mais je n'ai rien dans les deux voisinages réseau

3/ toujours impossible de me connecter sur durand-amd.net et d'avoir le courrier de cette boite en Pop3

Voci
[root@pucs-4ak8@9onlineadsl512 durand_gnome]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*mangle
:PREROUTING ACCEPT [132104:66800972]
:INPUT ACCEPT [57483:29650462]
:FORWARD ACCEPT [74503:37134636]
:OUTPUT ACCEPT [31708:19506224]
:POSTROUTING ACCEPT [107664:56853454]
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*nat
:PREROUTING ACCEPT [26848:1358961]
:POSTROUTING ACCEPT [2044:250824]
:OUTPUT ACCEPT [3222:325260]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*filter
:INPUT DROP [218:10545]
:FORWARD ACCEPT [232:13934]
:OUTPUT ACCEPT [86:5649]
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth1 -p icmp -j ACCEPT
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
*********************************************************
A suivre

Daniel

François · Answer

2 > c'est normal si tu n'as pas installé le serveur SAMBA sur ton linux. L'as-tu installé et configuré?

3> si le ping passe et internet passe, alors le problème ne se situe pas sur le linux passerelle, mais bien sur le client. Revois ta config du serveur pop dans les logiciels mails de tes clients (Outlook express...).
(exemple : pop.durand-amd.net pour le serveur pop)

Pour le reste, c'est parfait du côté de la passerelle linux, le dernier cat m'a rassuré sur un doute que j'avais.

Durand Daniel · Answer

Correction,

Sur le poste XP, je viens dans Internet explorer de décocher une case dans réseaus.
Du coup avec "exécuter \\192.168.1.1" 'obtiens une feêtre de connection me demandant un nom d'utilisateur et un mot de passe.
Est-ce le même qu'à l'ouverture de Windows ? je ne m'en souviens plus et dans XP je suis nul pour aller le retrouver...

Par contre sous Win 98 pas de changement, je peux pinger par "exécuter" mais pas de lancement avec l'adresse IP du serveur et rien dans le partage de connection.
Je ne pense qu'il y ait qq chose de cocher dans IE, je n'ai rien vu mais..
DD

Durand Daniel · Answer

2/ Samba : si j'ai installé Samba en serveur sur Linux, - je vois mes postes windows en partage samba- j'ai lancé aussi Samba client (tout sous l'interface graphique) mais quelle configuration faire ?3/ concernant ces SITES et les comptes POP : ils sont configurés correctement (depuis le temps que les utilise !) mais je ne peux me connecter sur eux qu'avec les postes win mais pas le poste LINUX.J'utilise Evolution mais j'ai revérifié la config des POP et je ne peux pas non plus me connecter sur les sites depuis Linux alors que le peux depuis les deux clients windows.

François · Answer

Vu la manière dont tu tentes de te connecter à ton 192.1681.1, je suppose que samba est installé dessus. Le mot de passe est donc celui que tu as défini pour samba. (le nom et mot de passe que tu as dû créer avec smbpasswd lors de la config de samba).Pour win98, c'est normal qu'il ne puisse se connecter : il faut qu'un compte avec le même login et mot de passe existe sur le serveur (192.168.1.1). En clair, si l'utilisateur par défaut de win98 est  "durand" avec le mot de pass "mdp", alors il faut avoir créé un compte au niveau de samba avec le même "durand" et "mdp".

Durand Daniel · Answer

J'ai configué Samba avec l'interface graphique de mandrake mais celle-ci n'indique pas ou et comment configuer smbpasswd.Comment faire ?Je trouve vraiement qu'il y a encore des progrès en convivialité à faire...Daneil

François · Answer

oui... mais il faut pasperdre de vue non-plus qu'à l'origine c'est un outil professionel, et que l'interface graphique est venue que par après!Pour la config de samba c'est un peu long... donc j'vais pas le faire à la suite de ce post. Par contre tu peux regarder les différents posts qu'il y sur ce forum au sujet de samba, dont un où j'ai résumé les opérations à faire: http://www.commentcamarche.net/forum/affich-981618-samba . Via l'interface graphique, je ne peux malheureusement pas t'aider car je ne l'utilise pas!

Durand Daniel · Answer

Merci beaucoup François pour toute l'aide, la patience et la gentillesse.Je vais regarder la doc sur Samba demain.Daniel

François · Answer

C'est avec plaisir...  çà me permet aussi d'être confronté à des problèmes que j'ai pas eu!  ...et sans avoir la machine devant moi ça rajoute du piment!!! ;-)Pour samba, tu trouveras plusieurs exemples simples sur le forum, sinon je t'en reposterai un, mais le principale est de bien suivre les étapes décrites au lien ci-dessus et de ne pas louper le "smbpasswd".Puis quand t'y verras un peu plus clair tu postes à nouveau... mais peut-être sous un nouveau titre!F.

Durand Daniel · Answer

Bonjour, François,Je reposte sur ce fil car je me suis aperçu d'un nouveau problème : en voulant transférer des fichiers par FTP sur mon site j'ai eu un message de non-connection. J'ai écrit au support du site qui m'a répondu.Avez une idée de l'origine de ce problème ?Désolé de vous redéranger.Daniel**********************************Bonjour,        Votre connexion FTP semble bloqué par votre router, 192.168.1.9 (seulement vers 84.97.64.250) et vous ne permettez pas une connexion vers votre espace sur nos serveurs, au du moins usr le serveur ftp de votre site web (66.199.139.31).At 01:32 2004-11-16, you wrote:>Bonjour,>>J'ai essayé ce matin de télécharger des fichiers sur mon site perso comme >d'habitude (durand-amd.net).>Voici ce que me répond mon logiciel FTP :>>"Commande :    PORT 192,168,1,9,4,178>Réponse :    500 Je n'ouvrirais pas de connexion vers 192.168.1.9 >(seulement vers 84.97.64.250)>Erreur :    N'a pas pu récupérer la liste du répertoire">>Avez-vous une idée du problème ?>>Daniel Durand>        Si vous avez d'autres questions, vous pouvez nous rejoindre à l'adresse ci-dessous.L'équipe du Support Techniquesupport@citeglobe.comhttp://www.citeglobe.com---------------------------------------------------------CitéGlobe, la solution en hébergement web.

François · Answer

En effet, le protocole FTP peut poser problème car il établit des connexions depuis l'extérieur... et comme le firewall est là justement pour empêcher les connexions depuis l'extérieur, ça pose problème.Normalement dans ton client FTP, tu dois pouvoir configurer l'option "passive FTP" ou "FTP passif" qui permet d'accepter le reroutage NAT et résoudre une partie des problèmes.Sinon il doit au moins y avoir une option qui permet de sélectionner une plage de ports utilisés pour le FTP entrant.  Il suffira alors d'ouvrir la même plage sur le firewall.Avant tout essaie le truc du FTP passif.Par exemple, si tu utilises Inetrnet Explorer pour faire tes transferts FTP, dans les options tu peux cocher ou décocher "Utiliser le mode FTP passif" dans l'onglet "avancé".

Durand Daniel · Answer

Pas de problème :j'ai coché FTP passif dans les paramètres de mon FTP qui est Filezilla (très bien et gratuit).ça passe sans problème : c'est une question que je ne m'étais jamais posée.Merci François.Eujh, je continue de me débattre avec Samba mais je n'arrive pas à lancer swat en suivant le how-to de Léa.A suivreDaniel

François · Answer

Si jamais tu en as marre de swat, tu trouveras plusieurs exemples de fichiers smb.conf (celui qui sert à la configuration de samba)Voici un exemple simple :[global]	workgroup = WORKGROUP	server string = SAMBA	netbios name = LINUX	security = user	valid users = francois olivier nobody	encrypt passwords= yes[public]	path = /home/samba	read only= no	public = yes

Durand Daniel · Answer

merci françois pour ces fichiers, je cherche à comprendre les différents stades de smb;conf : je progresse cahin caha.par contre, si mon truc de FTP a été réglé, je suis toujours devant ce problème incompréhensible : sur mon poste serveur Linux, je ne peux me connecter avec un navigateur internet (Galeon, Moilla, etc..) à mon site perso http://durand-amd.net bien que je le pingue. Et je ne peux accéder à mes messages dans mon logiciel en POP (Evolution).Or sur le réseau depuis mon portaible windows, je relève mon courrier et je me connecte au site avec Firefox... et idem depuis mon portable en réseau mais sous Linux !!!!Que se passe-t-il ? qu'est qui est fermé sur le serveur Linux ?Merci d'avanceDaniel

François · Answer

Pourtant si ça passe pour le réseau interne, ça doit passer pour le linux.Essaie de voir les config de ton browser, essaie également un autre browser (konqueror, ou même lynx en ligne de commande). Est-ce que ça passe pour d'autres sites?Si ton ping est fait sur le nom DNS et que ça passe, alors côté réseau c'est bon puisque le firewall laisse passer tout (vérifié par le fait que ton réseau interne fonctionne).Donc à part une config des programmes, je ne vois pas ce que ça peut être...  Sauf si tu me dis que ça pingue sur l'IP mais pas sur le nom de domaine.Normalement l'opion "passive FTP" n'a pas d'influence pour le FTP depuis cette machine, mais... t'es plus à un test près!Essaie de voir aussi s'il y a différence de comportement entre http://durand-amd.net  et  http://www.durand-amd.net.

Durand Daniel · Answer

Je récapitule :A/ Internet : Je me connecte sur tous les sites depuis tous les postes SAUF poour les sites hébergés par www.citeglobe.com mon hébergeur(en voici trois connus : durand-amd.net, mvtpaix.org, insitutidrp.org)sur mon portable windows xp en reseau avec Firefox, je passesu rmon portable linux en réseau avec Konqueror, je passesur mon poste principal linux, je ne peux me connecter ni avec Galeon, ni avec firebox, ni avec Lynx (le message est 'en attente...")Je pingue le nom de domaine (durand-amd.net) , je pingue l'IP (66.199.139.31)Les problèmes de FTP étaient sur le portable winbdows, je ne fais pas de FTP sur mon poste principal.B/ J'ai des boites aux lettres sur ces trois sites :daniel@durand-amd.netddurand@mvtpaix.orgdanieldurand@institutidrp.orgJe peux relever mon courrier en POP sur mon portable windows xp avec Thunderbirdmon portable linux avec KmailJe ne peux pas le relever sur mon poste principal ni avec Evolution, ni avec Kmail ---> en mode réception de courrier, il y a  message "en attente" pour ces boites (alors que d'autres sur yahoo ou tiscali se relèvent) et il reste à mouliner  jusqu'au "time out"C/ Question sans doute annexe mais on ne sait jamaisje ne peux pas établir sur mon poste principal de connection à localhost ni à tout ce qui s'y rapporte : swat, webmin aussi bien sous Galeon que LynxIl y a un problème de synchro mais où ?Daniel

François · Answer

merci d'avoir récapitulé... histoire de remettre les idées en place!Bon, j'ai en effet l'impression qu'il y a un problème au niveau du firewall en ce qui concerne le localhost.Normalement la ligne  "ipatbles -A INPUT -i lo -j ACCEPT" a pour effet de libérer toutes les communications locales.peux-tu refaire un "iptables -L -n"  pour voir on en est ton serveur linux?Si je me souviens bien, tu as aussi une carte eth0... qui n'est pas listée dans les tables de routage. On peut tjs faire un essai de 'iptables -A INPUT -i eth0 -j ACCEPT" pour voir si ça a une influence, mais... ça me surprendrait vraiment! Il y a toujours une explication à tout... patience!

Durand Daniel · Answer

Voici le iptable[root@pucs-4ak8@9onlineadsl512 durand_gnome]# iptables -L -nChain INPUT (policy DROP)target     prot opt source               destinationACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHEDACCEPT     all  --  0.0.0.0/0            0.0.0.0/0ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0Chain FORWARD (policy ACCEPT)target     prot opt source               destinationChain OUTPUT (policy ACCEPT)target     prot opt source               destination************************************************J'ai fait l'autre commande sur eth0 mais rien de changé.MerciDaniel

François · Answer

Si tu fais "iptables -A INPUT -s 127.0.0.1 -j ACCEPT" , est-ce que ça améliore quelque chose?

Durand Daniel · Answer

On aavance très doucement :je ping 127.0.0.1 et localhostimpossible de les avoir en navigateur (firefox et Lynx) tant en nom qu'en IP.Pourtant j'ai eu webmin au 127.0.0.1:10000Pas de changement sur le resteDD

François · Answer

ben là...bon... les grands moyens : désactiver le firewall quelques secondes le temps de voir si c'est lui le responsable.iptables -P INPUT ACCEPTiptables -Fçà, ça vire tout. tu fais les tests d'accès. Si ça passe... alors c'est le firewall ou le masquerading. Si ça passe pas, le problème est ailleur : soit au niveau de ton soft (le plus probable), soit ton hébergeur qui a des protections non-compatibles... (ça m'étonnerait, mais là je n'écarte plus aucune hypothèse!)après les tests, n'oublie pas de faire un "iptables-restore < /etc/sysconfig/iptables" pour remettre le firewall.fais un dernier "iptables -L -v" pour être sûr qu'il n'y a pas eu d'erreur.J'ai encore un dernier truc en tête... mais après ça va devenir chaud!!!Ou alors, c'est tellement évident que je le vois pas.

Durand Daniel · Answer

J'ai désactivé iptables : pas de changements.J'ai restauré.Voci la situation :[root@pucs-4ak8@9onlineadsl512 durand_gnome]# iptables -L -vChain INPUT (policy DROP 6 packets, 288 bytes) pkts bytes target     prot opt in     out     source               destination     5   505 ACCEPT     all  --  ppp0   any     anywhere             anywhere         state RELATED,ESTABLISHED    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere     0     0 ACCEPT     all  --  eth1   any     anywhere             anywhere     0     0 ACCEPT     icmp --  eth1   any     anywhere             anywhere Chain FORWARD (policy ACCEPT 3 packets, 144 bytes) pkts bytes target     prot opt in     out     source               destination Chain OUTPUT (policy ACCEPT 5 packets, 213 bytes) pkts bytes target     prot opt in     out     source               destination Encore merci pour la peine.Daniel

François · Answer

La dernière idée que j'avais ne colle pas...Là comme çà, je vois pas. J'vais encore y réfléchir, mais pour moi le problème vient d'ailleur. J'ai déjà fait plusieurs config de ce genre, avec un réglage très similaire sans encombre.Vérifie bien que mozilla n'est pas configuré pour utiliser un proxy, mais bien une connexion directe.Dès que j'ai une idée, je post.  J'essaierai de faire des tests demain.En attendant, tu peux faire ceci dans une console : "curl -v -o /dev/null http://durand-amd.net"Avec un peu de chance il y aura un message d'ereur avec une info utile.

Durand Daniel · Answer

Voici les dernières infos du front...[root@pucs-4ak8@9onlineadsl512 durand_gnome]# curl -v -o /dev/null http://durand-amd.net* About to connect() to durand-amd.net port 80*   Trying 66.199.139.31... * connected* Connected to durand-amd.net (66.199.139.31) port 80> GET / HTTP/1.1User-Agent: curl/7.12.1 (i586-mandrake-linux-gnu) libcurl/7.12.1 OpenSSL/0.9.7d zlib/1.2.1.1 libidn/0.5.4Host: durand-amd.netPragma: no-cacheAccept: */*  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current                                 Dload  Upload   Total   Spent    Left  Speed  0     0    0     0    0     0      0      0 --:--:--  0:00:24 --:--:--     0  0     0    0     0    0     0      0      0 --:--:--  0:00:39 --:--:--     0***************************pour Mozilla ou Galeon pas de pb de proxy, d'ailleurs je me connecte sur tous les autres sites.Encore merciDaniel

Durand Daniel · Answer

J'ai fait une série de tests sur mon site durand-am.net : si cela peut aider... DD ******************************************** traceroute -m 30 durand-amd.net 40 2>&1 traceroute to durand-amd.net (66.199.139.31), 30 hops max, 40 byte packets 1 84.97.64.1 (84.97.64.1) 21.933 ms 29.562 ms 20.306 ms 2 73-202-118-80.kaptech.net (80.118.202.73) 21.840 ms 26.005 ms 20.349 ms 3 V4086.cbv3-co-1.gaoland.net (62.39.148.34) 26.994 ms 27.711 ms 27.066 ms 4 V4094.cbv1-co-1.gaoland.net (62.39.148.1) 29.872 ms 29.522 ms 28.955 ms 5 if-6-0.core2.pg1.teleglobe.net (80.231.73.21) 53.078 ms 28.686 ms 30.042 ms 6 if-6-0.core1.pg1.teleglobe.net (80.231.72.33) 109.636 ms 114.452 ms 108.544 ms 7 216.6.63.1 (216.6.63.1) 110.785 ms 109.553 ms 108.071 ms 8 if-3-0.mcore3.njy.teleglobe.net (216.6.57.5) 114.214 ms 109.084 ms 108.751 ms 9 if-5-0.mcore4.nqt.teleglobe.net (216.6.57.14) 113.775 ms 112.779 ms 109.376 ms 10 if-7-0.core2.nqt.teleglobe.net (216.6.87.14) 119.924 ms 118.011 ms 109.352 ms 11 if-4-0.bb8.nqt.Teleglobe.net (66.110.8.130) 109.327 ms 127.095 ms 115.458 ms 12 ix-3-0.bb8.nqt.teleglobe.net (216.6.119.2) 107.858 ms 111.965 ms 106.931 ms 13 0.so-6-0-0.XL2.NYC9.ALTER.NET (152.63.18.222) 108.576 ms 109.726 ms 111.467 ms 14 0.so-4-0-0.TL2.NYC9.ALTER.NET (152.63.23.129) 107.438 ms 109.098 ms 107.053 ms 15 0.so-2-2-0.TL2.CHI2.ALTER.NET (152.63.0.177) 144.092 ms 130.295 ms 132.211 ms 16 0.so-6-0-0.XL2.CHI13.ALTER.NET (152.63.70.105) 143.083 ms 133.417 ms 134.629 ms 17 POS7-0.GW2.CHI13.ALTER.NET (152.63.71.209) 134.020 ms 133.096 ms 131.392 ms 18 peer1.customer.alter.net (65.207.236.178) 138.969 ms 131.719 ms 131.430 ms 19 OC48POS6-0.tor-core-1.peer1.net (216.187.114.142) 143.806 ms 144.974 ms 143.552 ms 20 OC48POS1-0.tor-core-2.peer1.net (216.187.114.134) 154.428 ms 153.264 ms 154.316 ms 21 OC48POS3-0.mtl-core-b.peer1.net (216.187.68.93) 160.377 ms 172.082 ms 155.530 ms 22 Gig5-0.mtl-gsr-b.peer1.net (216.187.90.42) 156.947 ms 195.213 ms 156.582 ms 23 host0-cite.citeglobe.com (66.199.139.31) 157.083 ms 155.907 ms 156.594 ms ***************************************************** Running the nslookup nslookup -query=A durand-amd.net 2>&1 Server: 80.118.192.100 Address: 80.118.192.100#53 Non-authoritative answer: Name: durand-amd.net Address: 66.199.139.31 ***************************************************** Running the nmap nmap -sT -v -F durand-amd.net 2>&1 Starting nmap 3.55 ( http://www.insecure.org/nmap/ ) at 2004-11-18 10:07 CET Host host0-cite.citeglobe.com (66.199.139.31) appears to be up ... good. Initiating Connect() Scan against host0-cite.citeglobe.com (66.199.139.31) at 10:07 Adding open port 25/tcp Adding open port 21/tcp Adding open port 80/tcp Adding open port 22/tcp The Connect() Scan took 17 seconds to scan 1218 ports. Interesting ports on host0-cite.citeglobe.com (66.199.139.31): (The 1193 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 80/tcp open http 88/tcp filtered kerberos-sec 111/tcp filtered rpcbind 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 389/tcp filtered ldap 445/tcp filtered microsoft-ds 464/tcp filtered kpasswd5 587/tcp filtered submission 593/tcp filtered http-rpc-epmap 636/tcp filtered ldapssl 1026/tcp filtered LSA-or-nterm 1029/tcp filtered ms-lsa 1521/tcp filtered oracle 1755/tcp filtered wms 3268/tcp filtered globalcatLDAP 3269/tcp filtered globalcatLDAPssl 3372/tcp filtered msdtc 5800/tcp filtered vnc-http 5900/tcp filtered vnc 6667/tcp filtered irc 7007/tcp filtered afs3-bos Nmap run completed -- 1 IP address (1 host up) scanned in 18.142 seconds ************************************************************** Running the dig dig durand-amd.net A IN ; <<>> DiG 9.3.0rc4 <<>> durand-amd.net A IN ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10727 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2 ;; QUESTION SECTION: ;durand-amd.net. IN A ;; ANSWER SECTION: durand-amd.net. 3415 IN A 66.199.139.31 ;; AUTHORITY SECTION: durand-amd.net. 1564 IN NS dns1.citeglobe.com. durand-amd.net. 1564 IN NS dns0.citeglobe.com. ;; ADDITIONAL SECTION: dns1.citeglobe.com. 89342 IN A 66.199.139.9 dns0.citeglobe.com. 35961 IN A 216.187.90.100 ;; Query time: 31 msec ;; SERVER: 80.118.192.100#53(80.118.192.100) ;; WHEN: Thu Nov 18 10:08:55 2004 ;; MSG SIZE rcvd: 131

François · Answer

Ooops... là t'as mis des infos à pas dire! (le nmap) ...pas grave, on fera semblant de rien.Bon, vu le résultat du curl, il semble qu'il y ait un problème avec le masquerading de la machine elle-même.Vire le masquerading pour tout avec :iptables -t nat -Fet remets le masquerading juste pour les machines internes:iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADEpuis... encore tester! (et vérifier que ça passe tjs pour les machines internes).Sinon... éventuellement envisager de retester shorewall puique entre temps les machines internes ont été configurées avec IP fixe. (ce qui change tout!  j'ai pas eu le réflèxe de vérifier çà dès le début...)(avec un peu de chance on va battre le record du nombre de posts dans un sujet! ;-)))

Durand Daniel · Answer

Bonjour,j'ai fait la nouvelle config d'iptables (mais j'ai mis 192.168.1.0/24 au lieu de 192.168.0.0/24 puisque mes IP sont sur 192.168.1. ? exact ?).résultat : réseau : impec dans les deux sens pour la mpremière foiis MAIS plus de partage de connexion et pourtant le cat renvoie 1 ?DD

François · Answer

Oui, tu as bien fais pour l'adresse.Par contre je vais directement te faire changer cela puisque le partage ne passe plus.iptables -t nat -Fiptables -t nat -A POSTROUTING -i eth1 -o ppp0 -j MASQUERADE

Durand Daniel · Answer

Il y a apparemment un pb de version :[root@pucs-4ak8@9onlineadsl512 durand_gnome]# iptables -t nat -A POSTROUTING -i eth1 -o ppp0 -j MASQUERADEiptables v1.2.9: Can't use -i with POSTROUTINGTry `iptables -h' or 'iptables --help' for more information.

François · Answer

Bon ben alors :iptables -t nat -Fiptables -t nat -A POSTROUTING -s 192.168.1.X -o ppp0 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.1.Y -o ppp0 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.1.Z -o ppp0 -j MASQUERADEen remplaçant X,Y,Z par les IP exactes des PC de ton réseau interne.Ne pas le faire pour le linux lui-même (192.168.1.1).si çà passe pas, alors je ne vois qu'une chose : retester avec shorewall... ça passera peut-être maintenant qu'il y a des IP fixes correctes côté interne.

Durand Daniel · Answer

Merci François,'avais reviré tout et fait un restore iptables.J'ai donc mon partage et mon réseau appremment.Comme je pars en déplacement cet après-midi jusqu'à lundi, je mets de coté ta dernière proposiiton et je referais le point lundi.Encore merci pour ta patience,bonne fin de semaineTrès cordialementDaniel Durand

François · Answer

Ok... ben bon déplacement alors! ;-)A lundi pour la suite des aventures....

Durand Daniel · Answer

bonjour, me revoila !Les choses ont avancé nettement. Voila la situation :- poste serveur : Linux Mandrake 10.1 en faisant smb://, Je vois les quatre postes : le serveur, le portable Mandrake 10.0, le port; WP, le PC Win98. Je peux utiliser leurs fichiers dans les partages en m'identifiant.- portable Mandrake 10.0 : je vois aussi les quatre postes. Je peux entrer dans les fichiers des portables windows mais pas sur le serveur inux (mais je peux imprimer même si je ne vois pas la ressource)- portable XP : Je vois les quatres postes, je peux entrer partout et utiliser l'imprimante du serveur- PC win98 : je vois les quatre postes mais je ne vois pas l'imprimante du serveurC'est pas mal. Il me reste qq bricoles donc et puis mon anomalie de contact du site internet qui m'héberge et de contact de la boite aux lettres : là je suis complètement dans le brouillard. Je  les contacte des trois autres postes ! Sur le serveur, c'est uniquement depuis le passage à Mandrake 10.1. C'est valable quelquesoit le navigateur : Galeon, Firefoix, même Lynx !???Merci quand même François pour m'avoir aidé à parvenir là.Daniel

Fis · Answer

J'me suis enfin décidé à m'inscrire... je suis donc maintenant sous le pseudo Fis, mais c'est bien moi!Pour les problèmes d'accès au partage de fichiers et imprimantes, il y plusieurs paramètres qui peuvent entrer en compte.D'abord il faudrait vérifier la configuration de samba, et des droits d'accès. Ensuite, il faut savoir que dans un réseau où des machines Xp et 98 se croisent, ben... il y a des choses qui ne s'affichent plus.Pour l'accès à ton hébergeur depuis ton poste serveur, peux-tu t'y connecter en tapant l'adresse IP plutôt que l'adresse dns? (ex :  http://66.199.139.31/index.htm) Peux-tu te connecter à d'autres sites web depuis ce poste?Côté firewall et partage de connexion + masquerading, j'ai tout revu, j'ai fait des tests et je ne trouve aucun problème!

Durand Daniel · Answer

Non, je ne me connecte pas mieux avec l'IP : cela mouline en vainOui, je me connecte à tous les sites internet de la planète sauf ceux hébergés chez citeglobe.com !!!Daniel

Fis · Answer

Ben honnêtement, je ne pense pas ce soit ton PC (surtout si tu sais te connecter à n'importe quel aure site!).Pour moi, c'est de leur côté qu'ils bloquent l'accès à une seule IP, ou alors ils ont une protection (volontaire ou non) contre le masquerading client... (ce qui est plus probable étant donné le message d'erreur que tu avais communiqué plus haut, au post 58).Tu peux néanmoins encore essyer d'ouvrir un peu plus ton firewall au monde extérieur en appliquant la règle suivante :iptables -A INPUT -p ICMP -j ACCEPTJe m'absente jusque jeudi soir, mais à mon retour j'essaierai d'obtenir plus d'infos sur l'infrastructure du côté de ton hébergeur.

Durand Daniel · Answer

Oui assez d'accord avec cette analyse mais pourquoi  je me connecte à ce site avec les autres ordinateurs de mon réseau ?Daniel

Fis · Answer

Bon, le truc qui va suivre est une atteinte profonde à la sécurité... mais il faudra bien y passer!Si ça passe vers les autres PC et pas le serveur, j'en déduis donc que si le problème est sur le linux, il se situe au niveau de la chaîne INPUT.Donc ce que je propose est de laisser entrer tout ce qui vient de durand-amd.net, de manière à voir s'il s'agit d'un problème de firewall sur ton linux. (j'y crois pas trop, mais là... j'commence à plus croire à grand chose!!!)iptables -A INPUT -s 66.199.139.31 -j ACCEPTAvec çà, tout ce qui vient de ton site peut entrer sans le moindre problème! c'est donc pas une solution durable...De mon côté, je n'arrive pas à reproduire ces circonstances... n'ayant pas de site chez citeglobe. J'avoue que je sais plus trop quoi penser... soit c'est une betise énorme que je vois pas, soit c'est une sale subtilité comme on en croise rarement!'faut voir le bon côté des choses : maintenant tu seras un as de iptables! ;-)

Durand Daniel · Answer

Merci de la relance....J'ai fait la manipJ'ai ressayé : pas de connection ni avec le nom du site ni avec l'IP, niavec d'autres sites hébergés chez Citeglobe :- citeglobe.com- mvtpaix.org- institutidrp.orgC'est seulement le linux MDK   10.1 de mon serveur qui bli*oque puisque j'ai un portable sous Linux 10.0 en réseau avec lequel je me connecte sur ces sites...????????MerciDaniel

Fis · Answer

Ok... alors on va juste tester avec le site citeglobe.comiptables -A INPUT -s 216.187.90.69 -j ACCEPTIls sont tous sur le réseau 216.187.90.  ...de quoi attitrer l'attention!Est-ce que c'est juste ton hébergeur, ou bien c'est également ton provider d'accès internet?

Durand Daniel · Answer

Re-bonjour,Bon, j'ai refait la manip mais toujours rien (ni en nom ni en IP.Citeglobe est uniquement mon hébergeur. Mon FAI est 9telecom.Il héberge mon site durand-amd.net et j'ai une adresse daniel@durand-amd.netIl héberge aussi un site associatif mvtpaix.org avec lequel j'ai aussi une adresse ddurand@mvtpaix.orgMerci.DD

Fis · Answer

Là je cale... le firewall laisse tout passer donc c'est pas lui. Le masquerading fonctionne pour les autres machines, pas pour le linux lui-même si tu n'as plus fait de changement... donc c'est pas lui non-plus.Et en plus s'il sait se connecter sur d'autres sites, c'est ni le réseau, ni la résolution de nom...Je ne vois vraiment pas.  Si un spécialiste trouve la soluce, j'suis trèèèès demandeur de savoir!!!Je vais continuer à réfléchir... mais je sais pas encore par où!En attendant, tu peux toujours revenir à la soltion de réessayer shorewall... si tu as encore la motivation!

Durand Daniel · Answer

Bon, je sens que je vais espérer une future version MDK 10.2 !Bon, je préfère ne pas revenir à Shorewall dans la mesure où mon réseau fonctionne à peu près.Après toutes ces manips, comment vérifier quand même que ma config est correcte et le réseau protégé normalement ?Que dois-je t'envoyer ?En tout état de cause, je tiens à te remercier poour le max de temps que tu as consacré même si c'est stiimulant d'être devant un problème qu'on n'arrive pas à résoudre !MerciDaniel

Fis · Answer

De rien... mais si tu trouves un jour la solution, je t'en supplie : poste la!!!!!!Pour vérifier que tout est bon :iptables -v -Let iptables -t NAT -v -L...mais on verra toutes les règles en cours, donc avec les changements.Si tu veux être sûr, soit tu redémarres le linux et tu fais ces commandes APRES, soit tu envoies le fichiers /etc/sysconfig/iptables.voilà voilà...

Durand Daniel · Answer

Voici iptables :# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004*mangle:PREROUTING ACCEPT [132104:66800972]:INPUT ACCEPT [57483:29650462]:FORWARD ACCEPT [74503:37134636]:OUTPUT ACCEPT [31708:19506224]:POSTROUTING ACCEPT [107664:56853454]COMMIT# Completed on Sun Nov 14 19:29:19 2004# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004*nat:PREROUTING ACCEPT [26848:1358961]:POSTROUTING ACCEPT [2044:250824]:OUTPUT ACCEPT [3222:325260]-A POSTROUTING -o ppp0 -j MASQUERADE -A POSTROUTING -o eth0 -j MASQUERADE -A POSTROUTING -o ppp0 -j MASQUERADE -A POSTROUTING -o ppp0 -j MASQUERADE COMMIT# Completed on Sun Nov 14 19:29:19 2004# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004*filter:INPUT DROP [218:10545]:FORWARD ACCEPT [232:13934]:OUTPUT ACCEPT [86:5649]-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -i eth1 -p icmp -j ACCEPT COMMIT# Completed on Sun Nov 14 19:29:19 2004

Fis · Answer

Ok... il y a des lignes inutiles, pour être propre il faudrait virer 4 lignes :3 qui se suivent :-A POSTROUTING -o eth0 -j MASQUERADE-A POSTROUTING -o ppp0 -j MASQUERADE-A POSTROUTING -o ppp0 -j MASQUERADE et la 4ème plus bas :-A INPUT -i eth1 -p icmp -j ACCEPT Comme çà tu auras une tables bien propre.Pour les virer, tu utilises ton éditeur de texte préféré (ex: Kwrite) en tant que root. Si tu maîtrises vi, c'est parfait aussi.Pour le reste c'est bon.

Durand Daniel · Answer

OK, merci.DD

comperta · Answer

Salut François c'est encore compertaj'ai quelques questions :dans le post n°38 datant du 07/11 tu m'as dis de tester iptable avec cette configuration :Voici les règles :#on nettoie tout:iptables -F INPUTiptables -F OUTPUTiptables -F FORWARD#on règle ce qui peut entrer depuis internet:iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT#pour permette aux applications de communiquer entre-elle sur le linux:iptables -A INPUT -i lo -j ACCEPT#il faut permettre aux machines internes de passer:iptables -A INPUT -i eth0 -j ACCEPT#il faut faire du "masquerading" (NAT) pour partager la conexion:iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE#pour pouvoir faire un ping depuis le réseau interne:iptables -A INPUT -i eth0 -p icmp -j ACCEPT#enfin, il faut bloquer le reste:iptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTsi j'ai bien compris je donne acces a toutes machines qui se connecte a mon reseau local, c'est bien ça ?si oui, les lignes suivantes peuvent t'elles autoriser seulement certaines machines (seulement celle qui sont reelement connecté) ? iptables -t nat -A POSTROUTING -s 192.168.1.X -o ppp0 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.1.Y -o ppp0 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.1.Z -o ppp0 -j MASQUERADE Autre chose, iptable "bloque" l'accé depuis internet, cela signifie t'il que je peux rencontrer des problemes de partage de fichier (exemple tout con : j'ai du mal a envoyer des fichier via msn (par contre je recois super bien) , j'ai aussi installé AMULE enfin de verifier si le probleme viens de la et a chaque fois que je me connecte je suis en LOW ID (j'aime bien amule pour tester l'envoie de fichier via le net )est ce iptable qui bloque l'envoie de fichier ? )Comperta

Fis · Answer

Tout juste...  tu peux ainsi choisir les machines qui peuvent aller sur le net. De manière individuelle comme ci-dessus, ou par sous-réseau... en utilisant la notation suivante :iptables -t nat -A POSTROUTING -s 192.168.1.0/28 -o ppp0 -j MASQUERADE où 28 est le nombre de bits du masque de sous-réseau. Tu peux également utiliser la notation longue : 255.255.255.240Dans ce cas-ci, tu ouvres l'accès aux machines du sous-réseau limité par les adresses 192.168.1.0 et 192.168.1.15. Il ne faut pas oublié que la première et la dernière adresse d'un sous réseau sont réservées! (&ère = adresse réseau, der= adresse broadcast) Donc les seules adresses utilisables par les PC dans ce sous réseau vont de 192.168.1.1 à 192.168.1.14.  (Voir les nombreux cours/tutoriels réseaux sur internet et bien entendu celui sur CCM)Pour tes problèmes de transfert de fichiers tu as vu juste aussi.Pour MSN, il faut libérer les ports TCP de 6891 à 6900. Tu peux également ouvrir le TCP 1863, ça améliorera la fluidité.En général, pour un programme genre MSN ou autre, tu vas sur le site et dans la rubrique FAQ ou SUPPORT, tu trouveras les infos des ports à ouvrir et des dispositions spéciales à prendre pour passer le NAT. (NAT = Network Address Translation et tu l'utilises : c'est la ligne avec MASQUERADE)

comperta · Answer

finalement j'aime bien iptable , c'est un peu du chinois pour moi , mais je comprend de mieux en mieux !!encore une petite question, j'ai sauvegardé mon fichier iptable dans :/etc/sysconfig/iptablessi je veux modifier iptables, je peux le faire directement via la console avec GEDIT ? ou je dois refaire un fichier et retaper la commande  : "iptables-save > /etc/sysconfig/iptables"?me reste a trouver la commande pour liberer les port MSN.Un grand merci à toi.Comperta

comperta · Answer

bon sauf erreur cela devrais donner un truc comme ça :   iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT   iptables -A OUTPUT -o ppp0 -p tcp --sport 1863 -j ACCEPT   iptables -A INPUT -i ppp0 -p udp --dport 1863 -j ACCEPT   iptables -A OUTPUT -o ppp0 -p udp --sport 1863 -j ACCEPT   iptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPT   iptables -A OUTPUT -o ppp0 -p tcp --sport 6891:6900 -j ACCEPTai-je commis une erreur  ?Comperta

comperta · Answer

encore une petite question :dans le fichier iptables , je dois mettre où l'ouverture des ports et  les lignes autorisant le passage de certaines machines du reseau local sur le net  ?Comperta

Fis · Answer

Post 98 :  Oui, au début c'est un peu chinois, mais avec un peu d'habitude ça paraît très logique! ...et puis il y a moyen de faire des réglages très fins... c'est assez comfortable je trouve.Le fichier /etc/sysconfig/iptables est une petite aide bien agréable car il permet de restaurer automatiquement les règles AU DéMARRAGE du PC... Je ne te conseille pas de faire tes modifications là car d'une part tu ne vois pas quand tu fais une faute, et d'autre part tu ne verras pas les changements avant d'avoir redémarré le système ou le réseau.Utilise plutôt iptables à la ligne de commande, tu peux ajouter, supprimer ou modifier des règles en temps réel, et si tu fais une erreur de synthaxe il te le dit de suite! ...quand tout est au point, alors tu feras une sauvegarde via iptables-save.Post 99 : Tu n'as pas besoin de préciser le port source... car il peut différer. Avec le port de destination tu as assez. Je ne sais pas si l'udp est utilisé pour MSN.  Là il faut que je précise une chose : avec ces règles, tu as ouvert le firewall pour le PC linux sur lequel est le firewall. Si tu veux que le transfert de fichiers marche avec une autre machine du réseau, alors il faut rediriger la connexion vers le bon PC. Malheureusement, la conception de MSN fait que tu ne pourras utiliser cela que pour un PC. Tu aurais le même problème avec un firewall d'un routeur ou n'importe quoi d'autre... Pour moi c'est une erreur de la par de MSN d'avoir utilisé des ports fixes non réglables pour le transfert de fichiers.  ...il auraient dû utiliser un système similaire à ce qu'il emploient pour la partie "chat" de MSN.Post 100 : Ne touche pas à ce fichier, sauf pour faire des petites correction éventuelles, mais utiise plutôt iptables à la ligne de commande. Tu as plusieurs tables.... celle par défaut est "filter", c'est celle qui conerne le PC lui-même. La tables concernant le réseau est la table 'nat"...  Mais pour l'architecture de tout çà, je te conseille les tutoriels iptables et la page de manuel.  Tu es déjà bien avancé, donc il te faudra pas beaucoup d'efforts pour comprendre le contenu!Juste encore un détail : iptables est un outils extrêmement puissant... tu peux faire des configurations très complexes, mais ce n'est pas ton but actuel : donc ne t'acharne pas s'il y a des parties que tu comprends pas!

comperta · Answer

Bonsoir françoisIptables est effectivement puissant, est donc compliqué (pour moi en tout cas !!)Donc avant de toucher à quoi que ce soit je fais faire un petit resumé :Il faut que je rentre dans la console (je suppose en étant root) :pour les adresse ip : iptables -t nat -A POSTROUTING -s 192.168.1.X -o ppp0 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.1.Y -o ppp0 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.1.Z -o ppp0 -j MASQUERADE pour les ports :   iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT   iptables -A OUTPUT -o ppp0 -p tcp --sport 1863 -j ACCEPT   iptables -A INPUT -i ppp0 -p udp --dport 1863 -j ACCEPT   iptables -A OUTPUT -o ppp0 -p udp --sport 1863 -j ACCEPT   iptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPT   iptables -A OUTPUT -o ppp0 -p tcp --sport 6891:6900 -j ACCEPTpuis si cela ne marche pas, il me suffit de redemarer pour annuler les modifications ?par contre si ça marche je fais un : iptables-save > /etc/sysconfig/iptablesc'est bien cela ?autre chose, cette ligne là permet aux machines internes de passer :"iptables -A INPUT -i eth0 -j ACCEPT"cela signifie (sauf erreur) que les lignes concernant les ip sont inutiles, comment faire pour annuler "iptables -A INPUT -i eth0 -j ACCEPT" et ainsi avoir un controle total de mon reseau local ???dans ton post 101, j'ai pas compris l'histoire des ports source/destination, est ce que tu parle de : 6891:6900 ??j'avoue aussi avoir du mal à saisir le sens exact de ta phrase :"Tu as plusieurs tables.... celle par défaut est "filter", c'est celle qui conerne le PC lui-même. La tables concernant le réseau est la table 'nat"... "en fais pour etre precis je saisi pas  comment, ou plutot ce que je dois faire pour,  visualiser FILTER et NAT .Au risque que tu te sente harcelé de questions , connais tu de bon site traitant du sujet iptables?et de quel manuel parle tu dans ton post 101 ?Comperta qui te remerci de ta patiente

Fis · Answer

Une page utile pour s'entraîner : http://iptables-script.dk/index1.phpIl ya les "howtos" sur le net... dans google, tape "iptables + howto" ou "iptables +tutorial".LA source, c'est le site même de netfilter/iptables : http://www.netfilter.org/documentation/index.html#documentation-howtoBien, sûr le site de Lea:  http://lea-linux.org/reseau/iptables.html  (a partir du point 2)Puis encore celui-ci... http://www.linuxguruz.com/iptables/howto/Enfin, la doc dont je parlais est la page de manuel de iptables : dans le shell, tape la commande "man iptables".L'histoire des tables sera plus claire quand tu auras lu la doc... en fait, le firewall est constitué de plusieurs parties. Les deux principales sont "filter" (avec les chaines INPUT OUTPUT et FORWARD) et "nat" (avec les chaines PREROUTING et POSTROUTING). filter concerne tout ce qui entre dans le PC, nat tout ce qui transite par lui...  La ligne "iptables -A INPUT -i eth0 -j ACCEPT" n'est donc pas du tout inutile, elle permet aux PC internes de se connecter à ton PC linux... indispensable si tu veux partager des fichiers entre ces machines!Par contre les lignes qui concernent la table "nat", donc celles qui commencent par "iptables -t nat" ont pour but le partage de connexion internet...  elles ne font donc absolument pas double emploi!Admettons que tu as trois machine internes qui doivent pouvoir aller sur le net et dont les adresses se terminent respectivement par 4,5,6.Pour leur permettre à elles seule de passer vers internet, tu dois taper les commandes:iptables -t nat -A POSTROUTING -s 192.168.1.4 -o ppp0 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.1.5 -o ppp0 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.1.6 -o ppp0 -j MASQUERADE Pour MSN, malheureusement tu ne peux ouvrir  la fonctionalité "transfert de fichiers" que vers un seul PC. Pour faire simple, ouvrons ces ports sur le PC linux lui-même:iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPTiptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPTC'est tout... inutile d'ouvrir en sortie (-o ppp0), car  tout peut sortir par défaut. De plus, c'est bien les ports de destination qui sont à ouvrir, pas ceux de la source (--sport) car ceux-là peuvent varier! (et plus grave, si tu fais cela, tu fais un gros trou de sécurité dans ton firewall!!!)Enfin, iptables est un outil qui te permet de modifier, supprimer et faire toutes sortes d'opérations, pas seulement ajouter des commandes! De plus, il faut toujours se souvenir que iptables utilises la table "filter" par défaut... donc si tu veux agir sur une autre (ex "nat"), il faut lui spécifier en utilisant le paramètre "-t".Exemples:visualiser la table filter : "iptables -l -v" ou "iptables -t filter -l -v"  (le -v est pour avoir plus de détails)visualiser la table nat : "iptables -t nat -l -v"  (le -v est pour avoir plus de détails)supprimer la première règle de la chaine INPUT de la table filter :  "iptables -D INPUT 1"  ou "iptables -t filter -D INPUT 1"supprimer toutes les règles de la table nat : "iptables -t nat -F"Tu visualises, tu ajoutes, tu supprimes... tous les changements sont fait en direct, mais ne seront pas sauvegardés pour le prochain démarrage! Donc si tu ne fais pas un "iptables-save"... ben tu auras tout perdu au démarrage suivant du PC.Jette un oeil sur la doc... et demande si un point n'est pas clair, mais... faire un cour sur le foorum risque d'être long! ;-)La page http://iptables-script.dk/index1.php est assez pratique pour s'entrainer.

Medi_** · Answer

Bonsoir a tous, je viens de parcourir tous ces posts, en espérant trouver une solution, mais hélàs....lol. Voila ma situation; j'ai un PC(hote) qui tourne sous XP et un portable (client) qui était encore sous peu sous XP. J'ai voulu tester linux, avec la Mdk 10.1, et je n'arrives pas a établir de connexion partagée.... J'ai gardé la partition d'XP au cas où, et j'ai bien fait! Je n'arrives pas a pinger l'hote, pourtant quand je suis sous linux, le réseau est "actif"... Je ne comprends rien du toooo ! Ca fait déja qqes jours que j'écume les forums, puis je suis arrivé ici par hasard. Merci d'avance à ceux qui prendraient le temps de me répondre! ++

Probleme reseau ss linux mandrake

73 réponses

Discussions similaires