slt tt le monde,

j’ai récemment configuré NAT dans debian6 avec iptables

1 - iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
ou
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 ! -d IP-du-FAI -j MASQUERADE

2 - iptables-save >/etc/nat.conf
iptables-restore < /etc/nat.conf

voilà l’architecture:

INTERNET --> (eth0)DEBIAN6(eth1) --> WIFI -->LAN
3 - configuration de ipv_forwawrd dans /proc/…/ipv4/ip_forward

4 - j’ai inséré dans l’interface eth0 cette ligne afin que iptables s’autodémarre aussi:
pre-up iptables-restore </etc/nat.conf

Après la configuration (démarrage carte etc…, j’ai même redemarrer le serveur plusieurs fois afin que je voie une erreur), la NAT marchai très bien (les ordinateurs clients ont accès sans aucun problème à l’Internet) pendant au moins 1/2 journée jusqu’à celui ci tourne en mal; c’est à dire que les clients n’arrivent plus à accéder à l’internet…

j’ai revérifié les config, j’ai changé les regles iptables mais celui ci reste insolvable

question:

est ce qu’il y a un service qui s’est arrêter quelque part?
est ce que j’ai mal configuré?

merci de vos réponses chers administrateurs réseau

Laquelle de ces deux règles as-tu mise en place ?
Comment est réalisé l’accès internet de la machine Debian qui fait le NAT : modem, box… ?
Que se passe-t-il exactement quand le problème apparaît (ping ou traceroute par adresse IP puis par nom de la Debian vers les clients et vice versa, de la Debian vers internet, des clients vers internet…) ?
La machine Debian a-t-elle encore accès à internet lorsque les clients ne l’ont plus ? Si oui, la règle iptables est-elle toujours en place (iptables-save pour vérifier) ?
L’accès internet revient-il après redémarrage de la machine Debian ?

merci de votre réponse

Laquelle de ces deux règles as-tu mise en place ?
–> la premiere regle et quand le probleme survient je lui ai changé du seconde

Comment est réalisé l’accès internet de la machine Debian qui fait le NAT : modem, box… ?
–> Venant d’un IDU Alvarion

Que se passe-t-il exactement quand le problème apparaît (ping ou traceroute par adresse IP puis par nom de la Debian vers les clients et vice versa, de la Debian vers internet, des clients vers internet…) ?
–> depuis debian vers client: ping et traceroute marchent très très bien e de même pour les clients
–> le debian vers internet : aucune response (ping et traceroute)
–> le client vers internet : aucune response (ping et traceroute)

La machine Debian a-t-elle encore accès à internet lorsque les clients ne l’ont plus ? Si oui, la règle iptables est-elle toujours en place (iptables-save pour vérifier) ?
–> non, la machine debian n’arrive à se connecter
en plus iptables est toujours présent quand je tape : iptables -L -t nat même apres redemarrage

L’accès internet revient-il après redémarrage de la machine Debian ?
–> votre question est elle après le problème ou avant?
parce que avant le problème, le NAT est toujours en état de marche même après redémarrage
mais quand le problème survient, aucun amélioration

merci,

Si le problème affecte aussi la machine Debian et persiste après le redémarrage de celle-ci, alors peut-être son origine se situe-t-elle en amont.
Qu’est-ce qu’un IDU Alvarion ? Comment cet accès internet est-il livré du point de vue de la machine Debian ? Simple IP sur ethernet en DHCP ou configuration statique, PPPoE, autre ?
Comment l’accès internet finit-il par être rétabli ?

Salut,
Si cela peut t’aider, voila un sript permettant de mettre un firewall basic avec partage de connections :

[code]#!/bin/sh

BEGIN INIT INFO

Required-Start: $local_fs $network

Required-Stop: $local_fs $remote_fs

Default-Start: 2 3 4 5

Default-Stop: 0 1 6

Short-Description: Wireless & LAN Access Point Controller

Description: Script met en place un firewall avec partage la connexion internet

END INIT INFO

Script de démarrage qui lance l’interface réseau internet,

met en place un firewall et un partage de connexion

#Déclaration des interfaces :
interface_WAN=eth0 # Carte connectée à une freebox
interface_LAN=eth1 # Carte coté LAN
interface_WLAN=wlan0 # Point d’accès wifi créer avec hostapd

Variable

start() {

init du la périphérique internet (ici derriere une freebox)

/sbin/ifup $interface_WAN
echo “activation de l’interface WAN”

#vidage des chaines
iptables -F
echo “vidage des chaines”
#destruction des chaines personnelles
iptables -X
echo “destruction des chaines personnelles”

#stratégies par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

echo “mise en place de la stratégie par défault (INPUT et FORWARD = DROP et OUTPUT = DROP)”

#init des tables NAT et MANGLE (pas forcément nécessaire)
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
iptables -t nat -P OUTPUT DROP
echo “initialisation des tables NAT et MANGLE”

Acceptation de toutes les connexions en local (un process avec l’autre)

iptables -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
echo “Acceptation de toutes les connexions en local”

On fait confiance au LAN et WLAN

iptables -A INPUT -i $interface_LAN -j ACCEPT
iptables -A OUTPUT -o $interface_LAN -j ACCEPT
iptables -A INPUT -i $interface_WLAN -j ACCEPT
iptables -A OUTPUT -o $interface_WLAN -j ACCEPT

=====================================================

=== TENTATIVE pour SORTIE (OUTPUT)Pour le SERVEUR ===

=====================================================

==== On accepte la sortie de certains protocoles ====

iptables -A OUTPUT -o $interface_WAN -p UDP --dport 123 -j ACCEPT # Port 123 (Time ntp udp)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 123 -j ACCEPT # Port 123 (Time ntp tcp)
iptables -A OUTPUT -o $interface_WAN -p UDP --dport domain -j ACCEPT # Port 53 (DNS)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport http -j ACCEPT # Port 80 (Http)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport https -j ACCEPT # Port 443 (Https)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 143 -j ACCEPT # Port 143 (imap)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport pop3 -j ACCEPT # Port 110 (Pop3)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 993 -j ACCEPT # Port 993 (auth.SSL)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 995 -j ACCEPT # Port 995 (auth.SSL)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport smtp -j ACCEPT # Port 25 (Smtp)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 587 -j ACCEPT # Port 587 (Smtp)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport ftp-data -j ACCEPT # Port 20 (Ftp Data)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport ftp -j ACCEPT # Port 21 (Ftp)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 5055 -j ACCEPT # Port #5055 (Ssh)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 22 -j ACCEPT # Port 22 (SSH)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport nntp -j ACCEPT # Port 119 (News groups)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 1863 -j ACCEPT # Port 1863 (Msn messenger)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 5222 -j ACCEPT # Port 1863 (Msn Pidgin)

=== OUTPUT générique ? ===

On autorise les connexions deja etablies ou relatives à une autre connexion a sortir

iptables -A OUTPUT -o $interface_WAN -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
echo “Aceptation de certain protocole en sortie pour le serveur”

#Autoriser le ping sur des IP externes
iptables -A OUTPUT -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

#########################################################################################################
################################### Partage de la connexion internet ##############################
#########################################################################################################
#création d’une nouvelle règle pour partage internet
iptables -N MAregle
#définition de la règle : accepter les nouvelles connexions ne venant pas de l’interface internet

et accepter toutes les connexions établies et reliées (ex: une demande de page HTML provoque

#l’ouverture d’une connexion reliée pour acheminer cette page vers l’ordinateur)
iptables -A MAregle -m conntrack --ctstate NEW -i $interface_LAN -j ACCEPT
iptables -A MAregle -m conntrack --ctstate NEW -i $interface_WLAN -j ACCEPT
iptables -A MAregle -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A MAregle -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A MAregle -m conntrack --ctstate UNTRACKED,INVALID -j DROP
#application de la règle au partage de connexion
iptables -A INPUT -j MAregle
iptables -A FORWARD -j MAregle
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $interface_WAN -j MASQUERADE
echo “Mise en place du partage de connextion internet”

#Log tous ce qui qui n’est pas accepter par une règles précédente

prés requit : sudo apt-get install zysklogd

echo ‘kern.warning /var/log/iptables.log’ > /etc/syslog.conf

iptables -A OUTPUT -j LOG --log-level 4 --log-prefix '[OUTPUT DROP]:'
iptables -A INPUT -j LOG --log-level 4 --log-prefix '[INPUT DROP]:'
iptables -A FORWARD -j LOG --log-level 4 --log-prefix ‘[FORWARD DROP]:’

iptables -L -n -v # commanter pour desactiver l’afichage des règles en cours#
echo “############ #############”

}

stop() {
echo 0 >/proc/sys/net/ipv4/ip_forward
ifdown $interface_WAN
}

case “$1” in

start)
start
echo “firewall IPv4 démarré”
;;

stop)
stop
echo “firewall IPv4 stopé”
;;
restart)
stop && start
echo “firewall IPv4 redémarré”
;;
status)
status
/sbin/iptables -L -n
/sbin/iptables -t nat -L -n -v
RETVAL=?
;;
*)
echo "Usage $0 {start|stop|restart|status}"
exit 1
esac

exit 0[/code]

Ce script est lancé au démarrage de la machine et est placé dans : /etc/init.d/iptables
A adapté celon le nom de tes interface

Merci Leo pour le script, je vais l’essayer

PascalHambourg >

IDU : Interface Data Unit, un petit matériel électronique transformant le signal radio en signal numérique du réseau local
l’adressage se fait en ip statique

Antenne à faisceau Hertzien --> IDU —> (eth0)Debian

Mieux vaut éviter de compliquer le jeu de règles tant que la cause du problème n’est pas identifiée. En tout cas cela ne vient pas directement de la machine Debian puisque son redémarrage ne résous pas le problème.

Je répète ma question : comment fais-tu pour rétablir la connexion quand elle tombe ?
As-tu essayé de redémarrer l’IDU ?

L’IDU a-t-elle une adresse IP pour son administration ? Si oui, cette adresse reste-t-elle joignable quand la connexion internet tombe ?

L’adresse IP statique attribuée à eth0 est-elle publique ou privée (ce qui impliquerait un étage de NAT supplémentaire sur l’IDU ou au-delà, source de problèmes potentiels) ?

Merci de votre réponse,

Je répète ma question : comment fais-tu pour rétablir la connexion quand elle tombe ?
As-tu essayé de redémarrer l’IDU ?
–> je ne fais que redémarrer l’interface eth0 venant de l’amont
je ne redémarre pas l’IDU tant que le témoin radio s’allume, sinon, j’ai déjà essayé de le redémarrer quand la connexion tombe, mais cette fois ci, aucune réponse

J’ai essayé directement de brancher mon laptop à l’IDU, mon laptop a accès à l’internet sans problème c’est à dire :

INTERNET --> ANTENNE —> IDU —> [mon laptop] : internet OK
pourtant
INTERNET --> ANTENNE —> IDU —> [debian] : internet non OK, même la passerelle par défaut n’est pas accessible (ping)

En effet, je pense que le problème vient de debian, mais comment localiser cela?

merci,

Truc bête…

Si tu fait un :

t’a quoi en retour?

Et un :

ping 8.8.8.8 ping debian-fr.org

Quel sont les IP de tes interfaces? tes clients sont ils configuré en dhcp? manuellement?
Quel est l’IP de ton IDU ?

ifconfig :
les 3 interfaces eth0, eth1 avec leur addressage (ip,mask,gateway) et loopback
ping 8.8.8.8 : unreachable
ainsi que ping debian-fr.org : host unreachable

l’IDU se connecte avec l’adresse MAC du serveur, et il n’a pas d’addresse IP
sur eth0 l’IP donnée par le FAI (ip publique avec un masque de 255.255.255.240)
sur eth1 l’IP du lan 192.168.1.0/24 avec 192.168.1.254 sur ETH1
les clients sont configurés manuellement

Donne le contenu de ton /etc/network/interface
Donne nous le retour exacte de ifconfig ( en masquant ton ip pub si tu veux )
Si je comprend bien eth0 ( WAN ) est en DHCP et eth1 est en 192.168.1.254/24 ( sans passerelle ).

Vérifie que c’est pas l’ipforward qui ne sauterait pas …

root@debian:~# ifconfig
eth0 Link encap:Ethernet HWaddr 50:46:5d:4c:f8:5d
inet adr:41.204.123.183 Bcast:41.204.123.191 Masque:255.255.255.240
adr inet6: fe80::5246:5dff:fe4c:f85d/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6497 errors:0 dropped:0 overruns:0 frame:0
TX packets:6113 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:690299 (674.1 KiB) TX bytes:731022 (713.8 KiB)
Interruption:28

eth1 Link encap:Ethernet HWaddr 54:e6:fc:80:14:2e
inet adr:192.168.1.254 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::5246:5dff:fe4c:f85d/64 Scope:Lien
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interruption:27 Adresse de base:0x6000

lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:20 errors:0 dropped:0 overruns:0 frame:0
TX packets:20 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:1276 (1.2 KiB) TX bytes:1276 (1.2 KiB)

sortie de /etc/network/interface

auto lo
iface lo inet loopback

auto eth1
#allow-hotplug eth0
iface eth1 inet static
hwaddress ether bc:ae:c5:a3:60:96
address 41…
netmask 255.255.255.240
gateway 41.204.123…
Broadcast 41.204.123…
pre-up iptables-restore < /etc/nat.conf

auto eth1
#allow-hotplug eth1
iface eth0 inet static
address 192.168.1.254
netmask 255.255.255.0

Crée le fichier /etc/init.d/iptables avec le script suivant :

[code]#!/bin/sh

BEGIN INIT INFO

Required-Start: $local_fs $network

Required-Stop: $local_fs $remote_fs

Default-Start: 2 3 4 5

Default-Stop: 0 1 6

Short-Description: Wireless & LAN Access Point Controller

Description: Script met en place un firewall avec partage la connexion internet

END INIT INFO

Script de démarrage qui lance l’interface réseau internet,

met en place un firewall et un partage de connexion

#Déclaration des interfaces :
interface_WAN=eth0 # Carte connectée è UDI
interface_LAN=eth1 # Carte coté LAN

start() {

init du la périphérique internet (ici derriere une freebox)

/sbin/ifup $interface_WAN
echo “activation de l’interface WAN”

#vidage des chaines
iptables -F
echo “vidage des chaines”
#destruction des chaines personnelles
iptables -X
echo “destruction des chaines personnelles”

#stratégies par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

echo “mise en place de la stratégie par défault (INPUT et FORWARD = DROP et OUTPUT = DROP)”

#init des tables NAT et MANGLE (pas forcément nécessaire)
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING DROP
iptables -t nat -P POSTROUTING DROP
iptables -t nat -P OUTPUT DROP
echo “initialisation des tables NAT et MANGLE”

Acceptation de toutes les connexions en local (un process avec l’autre)

iptables -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
echo “Acceptation de toutes les connexions en local”

On fait confiance au LAN et WLAN

iptables -A INPUT -i $interface_LAN -j ACCEPT
iptables -A OUTPUT -o $interface_LAN -j ACCEPT

=====================================================

=== TENTATIVE pour SORTIE (OUTPUT)Pour le SERVEUR ===

=====================================================

==== On accepte la sortie de certains protocoles ====

iptables -A OUTPUT -o $interface_WAN -p UDP --dport 123 -j ACCEPT # Port 123 (Time ntp udp)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 123 -j ACCEPT # Port 123 (Time ntp tcp)
iptables -A OUTPUT -o $interface_WAN -p UDP --dport domain -j ACCEPT # Port 53 (DNS)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport http -j ACCEPT # Port 80 (Http)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport https -j ACCEPT # Port 443 (Https)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 143 -j ACCEPT # Port 143 (imap)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport pop3 -j ACCEPT # Port 110 (Pop3)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 993 -j ACCEPT # Port 993 (auth.SSL)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 995 -j ACCEPT # Port 995 (auth.SSL)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport smtp -j ACCEPT # Port 25 (Smtp)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 587 -j ACCEPT # Port 587 (Smtp)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport ftp-data -j ACCEPT # Port 20 (Ftp Data)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport ftp -j ACCEPT # Port 21 (Ftp)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 5055 -j ACCEPT # Port #5055 (Ssh)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 22 -j ACCEPT # Port 22 (SSH)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport nntp -j ACCEPT # Port 119 (News groups)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 1863 -j ACCEPT # Port 1863 (Msn messenger)
iptables -A OUTPUT -o $interface_WAN -p TCP --dport 5222 -j ACCEPT # Port 1863 (Msn Pidgin)

=== OUTPUT générique ? ===

On autorise les connexions deja etablies ou relatives à une autre connexion a sortir

iptables -A OUTPUT -o $interface_WAN -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
echo “Aceptation de certain protocole en sortie pour le serveur”

#Autoriser le ping sur des IP externes
iptables -A OUTPUT -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT

#########################################################################################################
################################### Partage de la connexion internet ##############################
#########################################################################################################
#création d’une nouvelle règle pour partage internet
iptables -N MAregle
#définition de la règle : accepter les nouvelles connexions ne venant pas de l’interface internet

et accepter toutes les connexions établies et reliées (ex: une demande de page HTML provoque

#l’ouverture d’une connexion reliée pour acheminer cette page vers l’ordinateur)
iptables -A MAregle -m conntrack --ctstate NEW -i $interface_LAN -j ACCEPT
iptables -A MAregle -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A MAregle -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A MAregle -m conntrack --ctstate UNTRACKED,INVALID -j DROP
#application de la règle au partage de connexion
iptables -A INPUT -j MAregle
iptables -A FORWARD -j MAregle
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $interface_WAN -j MASQUERADE
echo “Mise en place du partage de connextion internet”

#Log tous ce qui qui n’est pas accepter par une règles précédente

prés requit : sudo apt-get install zysklogd

echo ‘kern.warning /var/log/iptables.log’ > /etc/syslog.conf

iptables -A OUTPUT -j LOG --log-level 4 --log-prefix '[OUTPUT DROP]:'
iptables -A INPUT -j LOG --log-level 4 --log-prefix '[INPUT DROP]:'
iptables -A FORWARD -j LOG --log-level 4 --log-prefix ‘[FORWARD DROP]:’

iptables -L -n -v # commanter pour desactiver l’afichage des règles en cours#
echo “############ #############”

}

stop() {
echo 0 >/proc/sys/net/ipv4/ip_forward
ifdown $interface_WAN
}

case “$1” in

start)
start
echo “firewall IPv4 démarré”
;;

stop)
stop
echo “firewall IPv4 stopé”
;;
restart)
stop && start
echo “firewall IPv4 redémarré”
;;
status)
status
/sbin/iptables -L -n
/sbin/iptables -t nat -L -n -v
RETVAL=?
;;
*)
echo "Usage $0 {start|stop|restart|status}"
exit 1
esac

exit 0[/code]

Fait un :

puis un :

ensuite édite ton fichier /etc/network/interface et met :

[code]auto lo
iface lo inet loopback

iface eth0 inet dhcp # c’est ton FAI qui te donne la conf

auto eth1
#allow-hotplug eth1
iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0

[/code]

Ensuite redémarre ta machine et fait un test depuis un pc client pour voir si sa fonctionne.

Cela dit dans ton fichier /etc/network/interface actuel je metterai sa :

[code]auto lo
iface lo inet loopback

auto eth0
#allow-hotplug eth0
iface eth0 inet static
hwaddress ether bc:ae:c5:a3:60:96
address 41…
netmask 255.255.255.240
gateway 41.204.123…
Broadcast 41.204.123…
pre-up iptables-restore < /etc/nat.conf

auto eth1
#allow-hotplug eth1
iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0[/code]

Parce qu’il me semble que tu confond tes 2 interfaces…
Juste pour être sur :
eth0 coté internet
et eth1 coté lan

c’est bien sa…

Il y a manifestement une confusion entre eth0 et eth1 dans le fichier interfaces. Son contenu ne correspond pas à la sortie d’ifconfig.
D’autre part, il semble que la liaison d’eth1 ne soit pas active (pas de drapeau RUNNING, aucun paquet émis ni reçu). Câble débranché ?
Pourquoi forces-tu une adresse MAC sur l’interface extérieure ? En tout cas cela n’a pas l’air effectif, ifconfig montre une autre adresse MAC.

leo-25 : Je répète : quand on débugge un problème de connectivité, on ne se complique pas la vie avec un script usine à gaz comme le tien, aussi bien soit-il. On fait aussi simple que possible avec le strict minimum de règles nécessaires, à savoir tout le filtrage à ACCEPT et juste une règle SNAT ou MASQUERADE en sortie.

Effectivement tu a raison il vaut mieux simplifier… Après je sais que le script fonctionne ( ma petite usine simplifiée à moi ). Mais il est vrai que je vais parfois un peut vite en besogne …

le résultat est la même avec ces script

En fait, ce ne sont que des erreurs de frappe ces confusions
une fois j’ai essayé d’inter-changer ces deux interfaces comme ça : ETH1 vers WAN et ETH0 vers lan
c’est pour ça qu’il y a une erreur sur l’affichage ci-dessus

remarque sur l’adresse mac au niveau de l’interface WAN,
afin que debian ait accès à l’internet, son interface externe doit comporter une adresse MAC pour l’adressage manuel ou automatique au niveau du FAI

[quote=“Mel0311”]remarque sur l’adresse mac au niveau de l’interface WAN,
afin que debian ait accès à l’internet, son interface externe doit comporter une adresse MAC pour l’adressage manuel ou automatique au niveau du FAI[/quote]

Donc il y a un filtrage mac au niveau de ton FAI… Et est tu sur que ton FAI a bien enregistré ton adresse mac de ta carte eth0?

que donne la commande :

Normalement tu devrais avoir un truc du genre :

Destination Passerelle Genmask Indic Metric Ref Use Iface default 41.204.123... 0.0.0.0 UG 0 0 0 eth0 192.168.1.0 * 255.255.255.0 U 0 0 0 eth1

[EDIT :] Tu nous dit que ton FAI fait du filtrage MAC, mais :

[quote=“Mel0311”]J’ai essayé directement de brancher mon laptop à l’IDU, mon laptop a accès à l’internet sans problème c’est à dire :

INTERNET --> ANTENNE —> IDU —> [mon laptop] : internet OK
pourtant
INTERNET --> ANTENNE —> IDU —> [debian] : internet non OK, même la passerelle par défaut n’est pas accessible (ping)[/quote]
Si ton FAI ne connaît que l’adresse MAC de ton laptop alors il faut soit mettre la même adresse mac sur ta carte eth0, soit demander que ton FAI autorise l’adresse mac de ta carte eth0.

Mais dans le cas ou il ne connaît pas cette adresse comment est ce que ta conf à fonctionné pendant 1 demi journée? a mois que tu ai changer l’adresse mac de la carte…

Je comprend bien ton souci Leo

“Donc il y a un filtrage mac au niveau de ton FAI… Et est tu sur que ton FAI a bien enregistré ton adresse mac de ta carte eth0?”

c’est le FAI qui a donnée cette adresse MAC sur la carte eth0 pour son enregistrement de leur coté
par contre sur mon laptop, j’ai changé mon MAC à celui du donnée par le FAI (c’est pour ça que l’internet marchait sur le laptop) et c’est là où se pose le problème

Destination Passerelle Genmask Indic Metric Ref Use Iface
41.204.123.176 * 255.255.255.240 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
default 41.204.123.177 0.0.0.0 UG 0 0 0 eth0

41.204.123.177 la passerelle
41.204.123.176 la passerelle au niveau du FAI

Enfin, j’ai trouvé la solution grâce à vos idées
j’ai enlevé le MAC et j’ai contacter le FAI pour cloner mon adresse MAC par défaut au niveau de l’interface WAN par rapport à leur serveur et finalement, ça a marché

merci à vous tous

De rien

Il ne te reste plus qu’a affiner tes règles iptables…