[Passerelle] Des zespoirs.........Résolu/Fermé

Question

Bonjour,Je suis en train de retenter, pour la 10 ème fois, de configurer ma passerelle Linux.J'essaie de vous expliquer ma config:J'ai une mahine Debian connectée directement au net (avec un modem sagem F@st 800).Elle sert de passerelle.Le masquerade a été réglé:iptables -t nat -A POSTROUTING -s 10.0.0.2 -o ppp0 -j MASQERADEecho 1 > /proc/sys/net/ipv4/ip_forwardppp0 c'est mon modem. La passerelle debian a pour adresse, sur son interface eth0, 10.0.0.1 Et la machine cliente, une slackware, a pour adresse 10.0.0.2 sur eth0.Pour la machine cliente, tout ce que j'ai ajouté c'est la route vers la passerelle:route add default gw 10.0.0.1Il n'y a aucune règle de filtrage sur la slackware. Par contre il y en a sur la debian dans la chaine INPUT (pas de filtrage pour ce qui vient de 10.0.0.2) mais je les ai giclées et le problème reste.D'ailleurs venons en au problème: la passerelle marche partiellement. Pour tout ce qui est ping, aucun soucis sur le net (sachant que mon serveur dns est sur la passerelle, mais visiblement ce n'est pas un soucis de dns).Par contre dés qu'il s'agit d'échanges http ou ftp, là ça coince à une exceptions près: google.Si je fais wget www.google.fr, depuis la slackware, j'obtiens bien l'index.html correspondant.Mais pour les autres sites que j'ai essayé (ccm, www.kernel.org, www.wanadoo.fr) il s'arrête, soit àprès l'envoi de la requête http, soit après confirmation de la requête GET (ou le serveur est d'accord mais on dirait que rien ne vient).Idem avec le ftp, généralement les requêtes d'introduction passent (Login, pass, SYS, PASV, et enfin RETR qui permet de demander un fichier). Et idem, j'ai confirmation du serveur ftp, le fichier va arriver selon lui, je vois bien que ce serveur ftp est courtois, qu'il veut m'aider...mais ça s'arrête là, wget indique tous les compteurs à zero (octets reçus, temps restant) et ne bouge pas.J'ai pensé à regarder dans les modules chargés sur la passerelle mais tout à l'air de bien se passer:modprobe -l | grep ip #J'ai filtré les resultats, il y en a une centaine/lib/modules/2.6.13/kernel/net/ipv4/netfilter/ip_conntrack.ko/lib/modules/2.6.13/kernel/net/ipv4/netfilter/iptable_nat.ko/lib/modules/2.6.13/kernel/net/ipv4/netfilter/ipt_MASQUERADE.ko/lib/modules/2.6.13/kernel/net/ipv4/netfilter/iptable_filter.ko/lib/modules/2.6.13/kernel/net/ipv4/netfilter/ip_nat_ftp.ko/lib/modules/2.6.13/kernel/net/ipv4/netfilter/ip_tables.koJe suis vraiment à cours d'idée...Merci d'avance....

crabs · Answer

Salut,Peux-tu donner les résultats des commandes suivantes :sur la débian :ifconfignetstat -rn (ou éauivalent, ça fornit les tables de routage)netstat -i (ou équivalent, ça fourni les stats sur les interfaces)iptables -L -viptables -t nat -L -vSur la slackware :ifconfignetstat -rnSi tu gommes les adresses IP, met des noms parlant en lieu et place.Précises aussi quel est ton FAI, car pour certains, il faut adapter le MTU.A+, crabs

kmf31 · Answer

Si tu fais un routeur NAT tu dois aussi faire de regles FORWARD pour la liaison entre Slackware et internet. La chaine INPUT ne concerne que les connexions directes entre Slackware et Debian.Par exemple dans le cas le plus simple (si FORWARD n'est pas completement ouvert de toute facon) tu as besoin:iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -A FORWARD -i eth0 -o pppo -j ACCEPTiptables -A FORWARD -j DROPici je suppose que c'est la carte reseau eth0 vers la laquelle la machine Slackware est relie (si c'est eth1 ou autre chose tu mettras ca). Avec ces regles tu ouvres toute requete de Slackware vers internet et tu acceptes de internet vers Slackware seulement de requetes etant de reponses a de requetes sortants anterieurs (bref: pare feu standard pour la Slackware mais fais sur la machine Debian).Pour le filtrage je te conseile tres vivement la lecture du IP Masquerade HOWTO:http://www.ibiblio.org/pub/Linux/docs/HOWTO/other-formats/html_single/IP-Masquerade-HOWTO.htmlNotamment regarde les scripts dans les sections: 3.4.1 ou encore mieux: 6.4.1.A part ca tu as peut-etre aussi besoin de faire:echo "1" > /proc/sys/net/ipv4/ip_dynaddrsi ton adresse IP (celle du sagem, internet) est dynamique et peut changer regulierement.Apres tu peux aussi avoir un probleme de MTU, la connexion par le sagem a probablement un MTU=1492 (ou meme moins). Seule execption: Free degroupe ou ca pourrait etre 1500.Tu peux le controler avec "/sbin/ifconfig" (le MTU est aussi affiche avec tout le baratin d'ifconfig).Alors dans ce cas ca peut etre utile ou meme necessaire de baisser le MTU pour la connexion entre Debian et Slackware simplement en faisant par exemple:ifconfig eth0 mtu=1492et ca sur les pcs Debian et Slackware!. Ici je suppose encore une fois que c'est eth0 pour les deux pcs mais tu y mettras bien-sur eth1 ou eth2 etc. si la connexion interieure passe par eth1 ou eth2 etc.De facon generale ca sera bien de baisser la MTU pour eth0 (sur les 2 machines) vers 1492 (comme pour ppp0) ou meme moins! N'hesite pas de tester avec de valeurs basses, disons 1452 ou meme 1412!Pour le DNS il faut quand meme tester de mettre un serveur DNS de ton FAI aussi sur le client Slackware meme si tu crois que la Debian marche bien en serveur DNS! S'il le serveur DNS sur la Debian ne marche pas ou mal ca peut tout expliquer.

kilian · Answer

Pas de soucis au niveau iptables, j'avais laissé le Forward en politique ACCEPT sans règle de filtrage. Et pour le masquerade, certain qu'il n'y a pas de soucis.Par contre le soucis venait du Mtu, j'ai réglé sur 1492 pour les deux eth0.Et là alleluia, ça marche!!!  ^_^Par contre pa de "=" dans la ligne de commande, c'est ifconfig eth0 mtu 1492Grand merci à vous deux!!!Mais là je tombe des nues, j'avais jamais entendu parlé du Mtu. C'est quoi finalement ce truc?

kilian · Answer

Ah ok, MTU = taille maximale d'une tramehttp://www.commentcamarche.net/internet/protip.php3.

[Passerelle] Des zespoirs.........

4 réponses

Discussions similaires

Newsletters