Probleme reseau ss linux mandrake

Fermé
comperta - 28 sept. 2004 à 08:17
 Medi_** - 23 déc. 2004 à 05:53
Bonjour,

j'ai actuellement trois pc :

un sous linux (appelons le mdk)
et deux sous XP (appelons les xp1 et xp2)

je souhaite que mdk soit relié à internet via mon modem USB sagem fast 908
et qu'il partage la connection au reseau local pour que mes pc xp1 et xp2 puissent aussi y acceder.

j'arrive à configurer mon reseau local , mais une fois que je configure internet, plus rien ne marche.

inversement si je commence par configurer internet, cela fonctionne (la preuve je suis sur mdk) mais des que je veux configurer mon reseau plus rien ne marche.

j'ai essayer de pinger mes machines une fois que plus rien en marche resultat 100 % des paquets perdu

j'ai taper ifconfig en etant root et le pc mdk me reconnait bien PPP0(adsl) et eth0 avec chacun une adresse iP

lorsque je tente de pinger ces adresses : 100 % des paquets perdu

de plus je viens de changer de version de linux , n'y arrivant pas ss madrake 10.0 j'ai installer mandrake 10.1

Sinon j'ai aussi un probleme de carte reseau inexistante :
linux me trouve un eth1 qui semble etre une copie conforme de eth0,
le probleme c'est que eth1 n'est pas dans ma config materiel (centre de controle mandrake linux => materiel)
je me demande si eth1 n'est pas la prise ethernet du modem .

merci d'avance pour votre aide

Comperta

73 réponses

Fis Messages postés 87 Date d'inscription lundi 22 novembre 2004 Statut Membre Dernière intervention 7 février 2006 10
25 nov. 2004 à 21:09
De rien... mais si tu trouves un jour la solution, je t'en supplie : poste la!!!!!!

Pour vérifier que tout est bon :

iptables -v -L
et
iptables -t NAT -v -L


...mais on verra toutes les règles en cours, donc avec les changements.
Si tu veux être sûr, soit tu redémarres le linux et tu fais ces commandes APRES, soit tu envoies le fichiers /etc/sysconfig/iptables.

voilà voilà...
0
Durand Daniel
25 nov. 2004 à 21:42
Voici iptables :
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*mangle
:PREROUTING ACCEPT [132104:66800972]
:INPUT ACCEPT [57483:29650462]
:FORWARD ACCEPT [74503:37134636]
:OUTPUT ACCEPT [31708:19506224]
:POSTROUTING ACCEPT [107664:56853454]
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*nat
:PREROUTING ACCEPT [26848:1358961]
:POSTROUTING ACCEPT [2044:250824]
:OUTPUT ACCEPT [3222:325260]
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
# Generated by iptables-save v1.2.9 on Sun Nov 14 19:29:19 2004
*filter
:INPUT DROP [218:10545]
:FORWARD ACCEPT [232:13934]
:OUTPUT ACCEPT [86:5649]
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth1 -p icmp -j ACCEPT
COMMIT
# Completed on Sun Nov 14 19:29:19 2004
0
Fis Messages postés 87 Date d'inscription lundi 22 novembre 2004 Statut Membre Dernière intervention 7 février 2006 10
25 nov. 2004 à 22:12
Ok... il y a des lignes inutiles, pour être propre il faudrait virer 4 lignes :

3 qui se suivent :
-A POSTROUTING -o eth0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o ppp0 -j MASQUERADE

et la 4ème plus bas :
-A INPUT -i eth1 -p icmp -j ACCEPT


Comme çà tu auras une tables bien propre.
Pour les virer, tu utilises ton éditeur de texte préféré (ex: Kwrite) en tant que root. Si tu maîtrises vi, c'est parfait aussi.

Pour le reste c'est bon.
0
Durand Daniel
25 nov. 2004 à 22:21
OK, merci.

DD
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
comperta Messages postés 18 Date d'inscription mardi 28 septembre 2004 Statut Membre Dernière intervention 30 novembre 2004
28 nov. 2004 à 14:26
Salut François c'est encore comperta

j'ai quelques questions :

dans le post n°38 datant du 07/11 tu m'as dis de tester iptable
avec cette configuration :

Voici les règles :

#on nettoie tout:
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

#on règle ce qui peut entrer depuis internet:
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#pour permette aux applications de communiquer entre-elle sur le linux:
iptables -A INPUT -i lo -j ACCEPT

#il faut permettre aux machines internes de passer:
iptables -A INPUT -i eth0 -j ACCEPT

#il faut faire du "masquerading" (NAT) pour partager la conexion:
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#pour pouvoir faire un ping depuis le réseau interne:
iptables -A INPUT -i eth0 -p icmp -j ACCEPT

#enfin, il faut bloquer le reste:
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT


si j'ai bien compris je donne acces a toutes machines qui se connecte a mon reseau local, c'est bien ça ?
si oui, les lignes suivantes peuvent t'elles autoriser seulement certaines machines (seulement celle qui sont reelement connecté) ?
iptables -t nat -A POSTROUTING -s 192.168.1.X -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.Y -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.Z -o ppp0 -j MASQUERADE 


Autre chose, iptable "bloque" l'accé depuis internet, cela signifie t'il que je peux rencontrer des problemes de partage de fichier (exemple tout con : j'ai du mal a envoyer des fichier via msn (par contre je recois super bien) , j'ai aussi installé AMULE enfin de verifier si le probleme viens de la et a chaque fois que je me connecte je suis en LOW ID (j'aime bien amule pour tester l'envoie de fichier via le net )est ce iptable qui bloque l'envoie de fichier ? )

Comperta
0
Fis Messages postés 87 Date d'inscription lundi 22 novembre 2004 Statut Membre Dernière intervention 7 février 2006 10
28 nov. 2004 à 17:33
Tout juste... tu peux ainsi choisir les machines qui peuvent aller sur le net. De manière individuelle comme ci-dessus, ou par sous-réseau... en utilisant la notation suivante :
iptables -t nat -A POSTROUTING -s 192.168.1.0/28 -o ppp0 -j MASQUERADE
où 28 est le nombre de bits du masque de sous-réseau. Tu peux également utiliser la notation longue : 255.255.255.240
Dans ce cas-ci, tu ouvres l'accès aux machines du sous-réseau limité par les adresses 192.168.1.0 et 192.168.1.15. Il ne faut pas oublié que la première et la dernière adresse d'un sous réseau sont réservées! (&ère = adresse réseau, der= adresse broadcast) Donc les seules adresses utilisables par les PC dans ce sous réseau vont de 192.168.1.1 à 192.168.1.14. (Voir les nombreux cours/tutoriels réseaux sur internet et bien entendu celui sur CCM)


Pour tes problèmes de transfert de fichiers tu as vu juste aussi.

Pour MSN, il faut libérer les ports TCP de 6891 à 6900. Tu peux également ouvrir le TCP 1863, ça améliorera la fluidité.

En général, pour un programme genre MSN ou autre, tu vas sur le site et dans la rubrique FAQ ou SUPPORT, tu trouveras les infos des ports à ouvrir et des dispositions spéciales à prendre pour passer le NAT. (NAT = Network Address Translation et tu l'utilises : c'est la ligne avec MASQUERADE)
0
comperta Messages postés 18 Date d'inscription mardi 28 septembre 2004 Statut Membre Dernière intervention 30 novembre 2004
28 nov. 2004 à 21:33
finalement j'aime bien iptable , c'est un peu du chinois pour moi , mais je comprend de mieux en mieux !!

encore une petite question, j'ai sauvegardé mon fichier iptable dans :

/etc/sysconfig/iptables

si je veux modifier iptables, je peux le faire directement via la console avec GEDIT ? ou je dois refaire un fichier et retaper la commande : "iptables-save > /etc/sysconfig/iptables"?

me reste a trouver la commande pour liberer les port MSN.

Un grand merci à toi.

Comperta
0
comperta Messages postés 18 Date d'inscription mardi 28 septembre 2004 Statut Membre Dernière intervention 30 novembre 2004
28 nov. 2004 à 21:40
bon sauf erreur cela devrais donner un truc comme ça :

   iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT
   iptables -A OUTPUT -o ppp0 -p tcp --sport 1863 -j ACCEPT
   iptables -A INPUT -i ppp0 -p udp --dport 1863 -j ACCEPT
   iptables -A OUTPUT -o ppp0 -p udp --sport 1863 -j ACCEPT
   iptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPT
   iptables -A OUTPUT -o ppp0 -p tcp --sport 6891:6900 -j ACCEPT



ai-je commis une erreur ?

Comperta
0
comperta Messages postés 18 Date d'inscription mardi 28 septembre 2004 Statut Membre Dernière intervention 30 novembre 2004
28 nov. 2004 à 21:45
encore une petite question :

dans le fichier iptables , je dois mettre où l'ouverture des ports et les lignes autorisant le passage de certaines machines du reseau local sur le net ?

Comperta
0
Fis Messages postés 87 Date d'inscription lundi 22 novembre 2004 Statut Membre Dernière intervention 7 février 2006 10
29 nov. 2004 à 11:12
Post 98 : Oui, au début c'est un peu chinois, mais avec un peu d'habitude ça paraît très logique! ...et puis il y a moyen de faire des réglages très fins... c'est assez comfortable je trouve.
Le fichier /etc/sysconfig/iptables est une petite aide bien agréable car il permet de restaurer automatiquement les règles AU DéMARRAGE du PC... Je ne te conseille pas de faire tes modifications là car d'une part tu ne vois pas quand tu fais une faute, et d'autre part tu ne verras pas les changements avant d'avoir redémarré le système ou le réseau.
Utilise plutôt iptables à la ligne de commande, tu peux ajouter, supprimer ou modifier des règles en temps réel, et si tu fais une erreur de synthaxe il te le dit de suite! ...quand tout est au point, alors tu feras une sauvegarde via iptables-save.

Post 99 : Tu n'as pas besoin de préciser le port source... car il peut différer. Avec le port de destination tu as assez. Je ne sais pas si l'udp est utilisé pour MSN. Là il faut que je précise une chose : avec ces règles, tu as ouvert le firewall pour le PC linux sur lequel est le firewall. Si tu veux que le transfert de fichiers marche avec une autre machine du réseau, alors il faut rediriger la connexion vers le bon PC. Malheureusement, la conception de MSN fait que tu ne pourras utiliser cela que pour un PC. Tu aurais le même problème avec un firewall d'un routeur ou n'importe quoi d'autre... Pour moi c'est une erreur de la par de MSN d'avoir utilisé des ports fixes non réglables pour le transfert de fichiers. ...il auraient dû utiliser un système similaire à ce qu'il emploient pour la partie "chat" de MSN.

Post 100 : Ne touche pas à ce fichier, sauf pour faire des petites correction éventuelles, mais utiise plutôt iptables à la ligne de commande. Tu as plusieurs tables.... celle par défaut est "filter", c'est celle qui conerne le PC lui-même. La tables concernant le réseau est la table 'nat"... Mais pour l'architecture de tout çà, je te conseille les tutoriels iptables et la page de manuel. Tu es déjà bien avancé, donc il te faudra pas beaucoup d'efforts pour comprendre le contenu!
Juste encore un détail : iptables est un outils extrêmement puissant... tu peux faire des configurations très complexes, mais ce n'est pas ton but actuel : donc ne t'acharne pas s'il y a des parties que tu comprends pas!
0
comperta Messages postés 18 Date d'inscription mardi 28 septembre 2004 Statut Membre Dernière intervention 30 novembre 2004
30 nov. 2004 à 21:22
Bonsoir françois

Iptables est effectivement puissant, est donc compliqué (pour moi en tout cas !!)
Donc avant de toucher à quoi que ce soit je fais faire un petit resumé :

Il faut que je rentre dans la console (je suppose en étant root) :

pour les adresse ip :
iptables -t nat -A POSTROUTING -s 192.168.1.X -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.Y -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.Z -o ppp0 -j MASQUERADE 


pour les ports :

   iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT
   iptables -A OUTPUT -o ppp0 -p tcp --sport 1863 -j ACCEPT
   iptables -A INPUT -i ppp0 -p udp --dport 1863 -j ACCEPT
   iptables -A OUTPUT -o ppp0 -p udp --sport 1863 -j ACCEPT
   iptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPT
   iptables -A OUTPUT -o ppp0 -p tcp --sport 6891:6900 -j ACCEPT


puis si cela ne marche pas, il me suffit de redemarer pour annuler les modifications ?

par contre si ça marche je fais un :

iptables-save > /etc/sysconfig/iptables


c'est bien cela ?

autre chose, cette ligne là permet aux machines internes de passer :
"iptables -A INPUT -i eth0 -j ACCEPT"

cela signifie (sauf erreur) que les lignes concernant les ip sont inutiles, comment faire pour annuler "iptables -A INPUT -i eth0 -j ACCEPT" et ainsi avoir un controle total de mon reseau local ???

dans ton post 101, j'ai pas compris l'histoire des ports source/destination, est ce que tu parle de : 6891:6900 ??

j'avoue aussi avoir du mal à saisir le sens exact de ta phrase :

"Tu as plusieurs tables.... celle par défaut est "filter", c'est celle qui conerne le PC lui-même. La tables concernant le réseau est la table 'nat"... "

en fais pour etre precis je saisi pas comment, ou plutot ce que je dois faire pour, visualiser FILTER et NAT .

Au risque que tu te sente harcelé de questions , connais tu de bon site traitant du sujet iptables?
et de quel manuel parle tu dans ton post 101 ?


Comperta qui te remerci de ta patiente
0
Fis Messages postés 87 Date d'inscription lundi 22 novembre 2004 Statut Membre Dernière intervention 7 février 2006 10
1 déc. 2004 à 23:01
Une page utile pour s'entraîner : http://iptables-script.dk/index1.php
Il ya les "howtos" sur le net... dans google, tape "iptables + howto" ou "iptables +tutorial".
LA source, c'est le site même de netfilter/iptables : http://www.netfilter.org/documentation/index.html#documentation-howto
Bien, sûr le site de Lea: http://lea-linux.org/reseau/iptables.html (a partir du point 2)
Puis encore celui-ci... http://www.linuxguruz.com/iptables/howto/

Enfin, la doc dont je parlais est la page de manuel de iptables : dans le shell, tape la commande "man iptables".

L'histoire des tables sera plus claire quand tu auras lu la doc... en fait, le firewall est constitué de plusieurs parties. Les deux principales sont "filter" (avec les chaines INPUT OUTPUT et FORWARD) et "nat" (avec les chaines PREROUTING et POSTROUTING). filter concerne tout ce qui entre dans le PC, nat tout ce qui transite par lui...

La ligne "iptables -A INPUT -i eth0 -j ACCEPT" n'est donc pas du tout inutile, elle permet aux PC internes de se connecter à ton PC linux... indispensable si tu veux partager des fichiers entre ces machines!

Par contre les lignes qui concernent la table "nat", donc celles qui commencent par "iptables -t nat" ont pour but le partage de connexion internet... elles ne font donc absolument pas double emploi!


Admettons que tu as trois machine internes qui doivent pouvoir aller sur le net et dont les adresses se terminent respectivement par 4,5,6.
Pour leur permettre à elles seule de passer vers internet, tu dois taper les commandes:
iptables -t nat -A POSTROUTING -s 192.168.1.4 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.5 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.6 -o ppp0 -j MASQUERADE


Pour MSN, malheureusement tu ne peux ouvrir la fonctionalité "transfert de fichiers" que vers un seul PC. Pour faire simple, ouvrons ces ports sur le PC linux lui-même:
iptables -A INPUT -i ppp0 -p tcp --dport 1863 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 6891:6900 -j ACCEPT

C'est tout... inutile d'ouvrir en sortie (-o ppp0), car tout peut sortir par défaut. De plus, c'est bien les ports de destination qui sont à ouvrir, pas ceux de la source (--sport) car ceux-là peuvent varier! (et plus grave, si tu fais cela, tu fais un gros trou de sécurité dans ton firewall!!!)



Enfin, iptables est un outil qui te permet de modifier, supprimer et faire toutes sortes d'opérations, pas seulement ajouter des commandes! De plus, il faut toujours se souvenir que iptables utilises la table "filter" par défaut... donc si tu veux agir sur une autre (ex "nat"), il faut lui spécifier en utilisant le paramètre "-t".

Exemples:
visualiser la table filter : "iptables -l -v" ou "iptables -t filter -l -v" (le -v est pour avoir plus de détails)
visualiser la table nat : "iptables -t nat -l -v" (le -v est pour avoir plus de détails)

supprimer la première règle de la chaine INPUT de la table filter : "iptables -D INPUT 1" ou "iptables -t filter -D INPUT 1"

supprimer toutes les règles de la table nat : "iptables -t nat -F"



Tu visualises, tu ajoutes, tu supprimes... tous les changements sont fait en direct, mais ne seront pas sauvegardés pour le prochain démarrage! Donc si tu ne fais pas un "iptables-save"... ben tu auras tout perdu au démarrage suivant du PC.

Jette un oeil sur la doc... et demande si un point n'est pas clair, mais... faire un cour sur le foorum risque d'être long! ;-)

La page http://iptables-script.dk/index1.php est assez pratique pour s'entrainer.
0
Bonsoir a tous, je viens de parcourir tous ces posts, en espérant trouver une solution, mais hélàs....lol. Voila ma situation; j'ai un PC(hote) qui tourne sous XP et un portable (client) qui était encore sous peu sous XP. J'ai voulu tester linux, avec la Mdk 10.1, et je n'arrives pas a établir de connexion partagée.... J'ai gardé la partition d'XP au cas où, et j'ai bien fait! Je n'arrives pas a pinger l'hote, pourtant quand je suis sous linux, le réseau est "actif"... Je ne comprends rien du toooo ! Ca fait déja qqes jours que j'écume les forums, puis je suis arrivé ici par hasard. Merci d'avance à ceux qui prendraient le temps de me répondre! ++
0