A voir également:
- Configuration routage avec iptables
- Ethernet n'a pas de configuration ip valide - Guide
- Panneau de configuration - Guide
- Retablir configuration usine chromecast - Guide
- Configuration chromecast - Guide
- Connaitre configuration pc - Guide
10 réponses
merci Kilian et kmf31 pour vos réponses,
en effet aprés avoir ajouté la ligne pour le masqerading au niveau du routeur :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
et la rourte qui va bien au niveau du pc du LAN :
route add default gw 192.168.222.1
et bien ça marche !!!
il n'y a plus qu'à affiner pour sécuriser tout ça...
@+
en effet aprés avoir ajouté la ligne pour le masqerading au niveau du routeur :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
et la rourte qui va bien au niveau du pc du LAN :
route add default gw 192.168.222.1
et bien ça marche !!!
il n'y a plus qu'à affiner pour sécuriser tout ça...
@+
merci Kilian pour ta réponse,
j'ai ajouté les règles ci-dessus, mais ça ne marche toujours pas, j'ai remarqué que même sans règles iptables (iptables -P INPUT ACCEPT,iptables -P FORWARD ACCEPT et iptables -P OUTPUT ACCEPT), ça ne marche pas non plus : la 192.168.222.2 ne peut se connecter au net, le pb vient peut-être d'ailleurs.
Ne serait-ce pas un pb de route?
j'ai ajouté les règles ci-dessus, mais ça ne marche toujours pas, j'ai remarqué que même sans règles iptables (iptables -P INPUT ACCEPT,iptables -P FORWARD ACCEPT et iptables -P OUTPUT ACCEPT), ça ne marche pas non plus : la 192.168.222.2 ne peut se connecter au net, le pb vient peut-être d'ailleurs.
Ne serait-ce pas un pb de route?
kmf31
Messages postés
1564
Date d'inscription
mercredi 30 mars 2005
Statut
Contributeur
Dernière intervention
22 juin 2007
501
13 févr. 2006 à 08:15
13 févr. 2006 à 08:15
Pour faire facile il faut completement ouvrir la direction OUTPUT (pour tout port, on peut quand meme faire confiance a son pc) et appliquer cette regle avec "state" donne par kilian pour la direction INPUT. Sinon on ne pourra pas faire de ftp, ssh, ping, ...
Par contre on n'a pas besoin d'ouvrir le port 80 pour INPUT sans condition (sauf si on a soi meme un serveur web). Les regles INPUT et OUTPUT ne sont que pour le pc routeur.
Apres pour les autres PC c'est la meme chose avec les regles FORWARD et la tu acceptes trop et sans conditions pour la direction entree, il faut aussi mettre le blabla RELATED, ESTABLISHED ici (pour le 1er FORWARD que tu as mis).
Le plus important: tu n'as pas active le NAT sur le routeur et ca ne peut pas marcher. Alors tu dois mettre une regle comme:
iptables -A POSTROUTING -o eth0 -j MASQUERADE
Pour finir tu n'ouvres rien pour eth1 (avec INPUT, OUTPUT), donc le reseau/pc interne ne peut pas contacter le pc routeur (car ton defaut est DROP) mais ca ne devrait pas empecher son acces internet une fois le NAT active. Ca depend de tes intentions si c'est bon ou pas. Pour l'instant le pc routeur ne peut rien envoyer vers le pc interne ni recevoir quelque chose du pc internet (sauf si c'est transmis pour internet).
Regarde le IP-Masquerade-HOWTO:
http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/
notamment les sections: 3.4.1 et 6.4.1 avec les scripts (presque) tout prets.
Par contre on n'a pas besoin d'ouvrir le port 80 pour INPUT sans condition (sauf si on a soi meme un serveur web). Les regles INPUT et OUTPUT ne sont que pour le pc routeur.
Apres pour les autres PC c'est la meme chose avec les regles FORWARD et la tu acceptes trop et sans conditions pour la direction entree, il faut aussi mettre le blabla RELATED, ESTABLISHED ici (pour le 1er FORWARD que tu as mis).
Le plus important: tu n'as pas active le NAT sur le routeur et ca ne peut pas marcher. Alors tu dois mettre une regle comme:
iptables -A POSTROUTING -o eth0 -j MASQUERADE
Pour finir tu n'ouvres rien pour eth1 (avec INPUT, OUTPUT), donc le reseau/pc interne ne peut pas contacter le pc routeur (car ton defaut est DROP) mais ca ne devrait pas empecher son acces internet une fois le NAT active. Ca depend de tes intentions si c'est bon ou pas. Pour l'instant le pc routeur ne peut rien envoyer vers le pc interne ni recevoir quelque chose du pc internet (sauf si c'est transmis pour internet).
Regarde le IP-Masquerade-HOWTO:
http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/
notamment les sections: 3.4.1 et 6.4.1 avec les scripts (presque) tout prets.
kilian
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
1 527
13 févr. 2006 à 01:37
13 févr. 2006 à 01:37
Salut,
D'abord il faut que tu laisses aussi passer les requêtes DNS vers l'exterieur (port udp 53).
Il faut que tu laisses l'exterieur répondre à tes requêtes:
Et que tu actives le masquerading (pour que l'adresse ip de ton pc en réseau local soit traduite avec ton adresse ip publique sur internet pour pouvoir communiquer avec l'exterieur):
D'abord il faut que tu laisses aussi passer les requêtes DNS vers l'exterieur (port udp 53).
Il faut que tu laisses l'exterieur répondre à tes requêtes:
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Et que tu actives le masquerading (pour que l'adresse ip de ton pc en réseau local soit traduite avec ton adresse ip publique sur internet pour pouvoir communiquer avec l'exterieur):
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.222.2 -j MASQUERADE
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
kilian
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
1 527
13 févr. 2006 à 07:32
13 févr. 2006 à 07:32
Ah oui.
Ajoute voir cette ligne de commande sur le 192.168.222.2:
Ajoute voir cette ligne de commande sur le 192.168.222.2:
route add default gw 192.168.222.1
Bonjour,
J'essaie de faire fonctionner, mais j'ai un problème de permission, je crois. Quelque détails:
$ ls -l /proc/sys/net/ipv4/ip_forward
-rw-r--r-- 1 root root 0 2007-09-28 07:11 /proc/sys/net/ipv4/ip_forward
$ cat /proc/sys/net/ipv4/ip_forward
0
$ sudo echo "1" > /proc/sys/net/ipv4/ip_forward
bash: /proc/sys/net/ipv4/ip_forward: Permission denied
En fait, je suis le HOWTO ici: http://ubuntulinuxhowto.blogspot.com/2006/06/setup-your-computer-to-be-router.html
Donc, mon problème principal est que je ne peux pas activer ip_forward. Je suis sur Ubuntu Feisty Fawn 7.04.
Quelqu'un a-t-il une idée ?
Merci !
François
J'essaie de faire fonctionner, mais j'ai un problème de permission, je crois. Quelque détails:
$ ls -l /proc/sys/net/ipv4/ip_forward
-rw-r--r-- 1 root root 0 2007-09-28 07:11 /proc/sys/net/ipv4/ip_forward
$ cat /proc/sys/net/ipv4/ip_forward
0
$ sudo echo "1" > /proc/sys/net/ipv4/ip_forward
bash: /proc/sys/net/ipv4/ip_forward: Permission denied
En fait, je suis le HOWTO ici: http://ubuntulinuxhowto.blogspot.com/2006/06/setup-your-computer-to-be-router.html
Donc, mon problème principal est que je ne peux pas activer ip_forward. Je suis sur Ubuntu Feisty Fawn 7.04.
Quelqu'un a-t-il une idée ?
Merci !
François
lami20j
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 569
28 sept. 2007 à 13:19
28 sept. 2007 à 13:19
Salut,
essaie
lami20j
essaie
sudo -s echo 1 > /proc/sys/net/ipv4/ip_forward--
lami20j
kilian
Messages postés
8731
Date d'inscription
vendredi 19 septembre 2003
Statut
Modérateur
Dernière intervention
20 août 2016
1 527
13 févr. 2006 à 01:39
13 févr. 2006 à 01:39
Et aussi laisser sortir les requêtes icmp pour les ping:
iptables -A OUTPUT -p icmp -j ACCEPT
Merci lami20j. En fait, j'ai réussi en suivant les instructions de https://tldp.org/HOWTO/IP-Masquerade-HOWTO/
Bonne journée !
François
Bonne journée !
François
