Ip masquerade ?

Support Debian
#1

Bonjour,

je viens d’installer la dernière version de Debian pour en faire un PC passerelle (tel que je l’avais avec une fedora core 9 avant que son disque devienne HS)

J’ai donc 2 cartes réseaux :
1 sur mon réseau local (eth0) en 192.168.0.1 avec serveur DHCP pour mes autres PC sous windows
1 sur ma box (eth1) en 192.168.1.10

j’ai mis en place les règles iptables suivantes via webmin (en ayant consulté plusieurs site web)
en lançant la commande iptables-save j’obtiens :

[code]# Generated by iptables-save v1.4.14 on Wed Jul 24 13:18:43 2013
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [5:398]
:POSTROUTING ACCEPT [5:398]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT

Completed on Wed Jul 24 13:18:43 2013

Generated by iptables-save v1.4.14 on Wed Jul 24 13:18:43 2013

*mangle
:PREROUTING ACCEPT [139:38757]
:INPUT ACCEPT [139:38757]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [139:38757]
:POSTROUTING ACCEPT [139:38757]
COMMIT

Completed on Wed Jul 24 13:18:43 2013

Generated by iptables-save v1.4.14 on Wed Jul 24 13:18:43 2013

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [139:38757]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth1 -j ACCEPT
COMMIT

Completed on Wed Jul 24 13:18:43 2013[/code]

d’après mes souvenirs de fedora core 9, ces règles permettent bien de translaté les demandes IP de mon réseau local (eth0) vers le réseau externe (la box en eth1).

Malheureusement, mes pc sous windows n’arrivent pas à accéder à internet (aucune modif n’ont été faites sur ces pc qui fonctionnaient bien avec la précédente passerelle) !
j’ai lancé iptraf pour voir le trafic et toutes les demandes de mes PC locaux restent sur eth0 et ne sont pas translaté sur eth1 -_-

j’ai beau retourner la situation dans tous les sens je ne vois pas ou se trouve le pb !

peut être qu’un oeil neuf ou plus expert pourrait m’indiquer la source de mon soucis ?

question subsidiaire, une fois le masquerade actif, comment activer un DNS sur la passerelle et avec quel soft (named, dnsconf ??) ?

je suis impatient de vous lire, car sans internet (et autres services) sur le réseau local ça deviens vite difficile

merci d’avance pour votre aide,
cordialement
Jminix

#2

As-tu dans un premier temps autorisé le forward ipv4 ?

Un peu de lecture pour plus de complément : wiki.debian.org/DebianFirewall

#3

bon, j’ai lu ton lien et j’ai rien vu sur l’autorisation du forward en ipv4 (ai je mal lu, c’est possible vu mon niveau d’anglais)

sinon, pour faire rapide, ou est ce que l’on doit autorisé le forward IPV4 (avec webmin ou debian ) ?

merci pour la réponse quand même (ça fait plaisir d’être lu et d’avoir une réponse)

#4

En ligne de commande (non persistant) :

Dans /etc/sysctl.conf (persistant) :

Dans Webmin, aucune idée.

#5

hum, l’idée est bonne car effectivement j’avais dans /etc/sysctl.conf :

j’ai donc mis 1 avec beaucoup d’espoir… mais non ça fonctionne toujours pas -_-

les demandes de mon réseau local en eth0 ne sont pas translaté sur eth1 !

d’autres pistes à creuser ?

après d’autres recherches sur le net, j’ai trouvé ça :

T'as bien activé le forwarding d'adresse? => ip_forward=yes dans /etc/network/options

mais malheureusement je n’ai pas de fichier options dans /etc/network

par ailleurs il n’y aurait pas une option à rajouter pour l’interface réseau eth1 ou dans le noyau ou je ne sais où ?

pour info j’ai aussi :

root@serveur:/proc/sys/net/ipv4# more ip_forward 1

#6

Bon, ça fait parti des mystères pour moi !

Skype fonctionne sur mes PC sous Windows, donc les trames IP passent bien de mon réseau local à l’internet.

mais bizarrement le web (requêtes sur port 80) ne fonctionne toujours pas.

j’ai regarder le service apache, et il écoute sur toute les adresses -_-
j’ai configurer apache pour qu’il n’écoute que sur son adresse locale 192.168.0.1

et Oh miracle, j’ai retrouvé le Net sur mon réseau local (ouf, j’ai cru que j’allais y perdre mon latin)

bon, les experts auront peut être une autre explications, mais en tous maintenant ma passerelle fonctionne et le dns par défaut semble aussi bien fonctionner :041

merci pour vos réponse car sans l’activation du ip forward ça ne marcherait pas encore !