Iptable et Serveur NAT

Support Debian
#41

Ca me parait bizarre…

Parce toutes tes règles FORWARD sont sur ACCEPT…

Qu’as tu comme adresse DNS sur ton poste client ?

#42

Re,

Celles que me donne :

à savoir 80.10.246.1 et 80.10.246.132

@++

#43

J’ajoute que mon Antivirus ne se met pas à jour non plus…

C’est comme si toutes ces applications demandaient un retour (genre identification ou réponse à quelque chose) et que les règles appliquées ne laisserait pas passer…enfin, ce n’est qu’une idée.

@+++

#44

quote="Dolmen"
et pour iptables -L :

[quote]Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT 0 – anywhere anywhere
ACCEPT 0 – anywhere anywhere state RELATED,ESTABLISHED
ACCEPT icmp – anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination [/quote]

Voilà…en espérant que ça nous aide :slightly_smiling:
@++[/quote]La ligne en rouge est peu precise.
Que donne:iptables-saveEt sinon, tu peux essayer:iptables -A INPUT -i lo -j ACCEPT

#45

Bonjour à Tous,

Avant tout je rappelle que je n’ai aucun script automatique qui se lance sur mon serveur. Toutes les règles sont rentrées en ligne de commande, ainsi une fois mon problème identifié je pourrai automatisé mon Firewall…mais en attendant des tests sont permis :slightly_smiling:

Donc, après reboot du Serveur, j’ai rentré en ligne de commande :

[code]echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -p igmp -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE[/code]
La commande :

donne les résulats suivants :

[quote]# Generated by iptables-save v1.3.6 on Fri May 25 15:23:42 2007
*nat
:stuck_out_tongue:REROUTING ACCEPT [14:1400]
:stuck_out_tongue:OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT

Completed on Fri May 25 15:23:42 2007

Generated by iptables-save v1.3.6 on Fri May 25 15:23:42 2007

*filter
:INPUT DROP [8:1224]
:FORWARD ACCEPT [259:62392]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p igmp -j ACCEPT
COMMIT

Completed on Fri May 25 15:23:42 2007[/quote]

Ensuite, sur les recommandations de Badaboumpanpan j’ai modifié /cat/resolv.conf avec :[quote]nameserver 80.10.246.3
nameserver 80.10.246.130
nameserver 194.2.0.20
nameserver 194.2.0.50[/quote]
en plus de ceux déjà existant qui étaient :

[quote]nameserver 80.10.246.1
nameserver 80.10.246.132[/quote]
Bien sûr, j’ai adapté la configuration IP de mon poste client avec les mêmes DNS.

Mon problème restant entier, j’ai ensuite utilisé la commande nslookup sur mon poste client. Les résultats sont les suivants :

[quote]Serveur par dÚfaut : dns-adsl-gpe1-a.wanadoo.fr
Address: 80.10.246.1

hotmail.com
Serveur : dns-adsl-gpe1-a.wanadoo.fr
Address: XX.XX.XX.XX

Réponse ne faisant pas autorité :
Nom : hotmail.aate.nsatc.net
Addresses: 166.63.208.158, 213.19.160.188, 166.63.208.155
Aliases: hotmail.com.nsatc.net

166.63.208.158
Serveur : dns-adsl-gpe1-a.wanadoo.fr
Address: 80.10.246.1

*** dns-adsl-gpe1-a.wanadoo.fr ne parvient pas à trouver 166.63.208.158 : Non-existent domain
[/quote]
On peut donc voir que mon poste client n’arrive pas à résoudre le domaine…bien sûr si je ping l’IP en question, je n’ai pas de réponse. Le ping fonctionne parfaitement sur mon serveur.

Autre chose, toujours avec la commande nslookup sur mon poste client mais cet fois sur google.fr, cette fois tout fonctionne, y compris la résolution du nom lorsque je rentre l’IP.

Je suis toujours perdu.
Une idée?

@++

#46

Si, si la résolution de nom se fait parfaitement, c’est que les serveur DNS principaux ne sont pas renseigné complètement… Pas très étonnant de la part de MS… :laughing:

Par contre, ça n’explique pas pourquoi le ping ne passe pas et l’accès au site encore moins…

#47

je confirme, tout est parfaitement normal. voici ce que donne mon nslookup linux:[code]> www.hotmail.com
Server: 192.168.###
Address: 192.168.####53

Non-authoritative answer:
www.hotmail.com canonical name = www.hotmail.com.nsatc.net.
www.hotmail.com.nsatc.net canonical name = www.hotmail.aate.nsatc.net.
Name: www.hotmail.aate.nsatc.net
Address: 166.63.208.155
Name: www.hotmail.aate.nsatc.net
Address: 166.63.208.158
Name: www.hotmail.aate.nsatc.net
Address: 212.162.1.124

166.63.208.155
Server: 192.168.###
Address: 192.168.####53

** server can’t find 155.208.63.166.in-addr.arpa: NXDOMAIN[/code]
par contre, pareil, moi j’arrive à pinger hotmail.

Ce qui est sûr, c’est que si ton serveur ping et pas les clients, c’est que c’est ton serveur qui bloque…
Mais le seul truc qui me vienne à l’esprit et qui fasse du bloquage sélectif, c’est iptables…
Je ne vois vraiment pas.

#48

Tu pourrais donner le resultat d’un lsmod et uname -r

#49

Ouep, mais si ça venait d’un module manquant, ça le ferait sur tout les paquets en destination de l’internet ???

#50

snif, snif. on ne sait jamais. Peut être une illumination.
Je me demandais si avec un changement de noyau ?

#51

En tout cas, je n’y avait pas pensé mais il est vrai que j’ai activé les modules suivant pour mes différents firewall :

[code]# On active les modules iptables
modprobe ip_conntrack
modprobe ip_tables

On active le FTP Passif

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
[/code]

Voilà. :slightly_smiling: C’est dit !!!..

#52

[quote=“Badaboumpanpan”]En tout cas, je n’y avait pas pensé mais il est vrai que j’ai activé les modules suivant pour mes différents firewall :

[code]# On active les modules iptables
modprobe ip_conntrack
modprobe ip_tables

On active le FTP Passif

modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
[/code]

Voilà. :slightly_smiling: C’est dit !!!..[/quote]

Salut,

Bon, en faisant ce que tu m’as décrit mon problème reste entier :frowning:

Voilà ce que me donne lsmod:[quote]Module Size Used by
nls_iso8859_1 4256 1
nls_cp437 5920 1
vfat 11872 1
fat 46684 1 vfat
ipt_MASQUERADE 3712 1
iptable_nat 7044 1
xt_state 2272 1
iptable_filter 3104 1
ip_nat_ftp 3328 0
ip_nat 16876 3 ipt_MASQUERADE,iptable_nat,ip_nat_ftp
ip_conntrack_ftp 7760 1 ip_nat_ftp
ip_tables 13028 2 iptable_nat,iptable_filter
x_tables 13316 4 ipt_MASQUERADE,iptable_nat,xt_state,ip_tables
ip_conntrack 49088 6 ipt_MASQUERADE,iptable_nat,xt_state,ip_nat_ftp,ip_nat,ip_conntrack_ftp
nfnetlink 6680 2 ip_nat,ip_conntrack
pppoe 13152 2
pppox 3688 1 pppoe
button 6672 0
ac 5188 0
battery 9636 0
ipv6 226016 10
ppp_generic 25908 6 pppoe,pppox
slhc 6528 1 ppp_generic
dm_snapshot 15552 0
dm_mirror 19152 0
dm_mod 50232 2 dm_snapshot,dm_mirror
loop 15048 0
parport_pc 32132 0
parport 33256 1 parport_pc
floppy 53156 1
rtc 12372 0
serio_raw 6660 0
psmouse 35016 0
i2c_piix4 8140 0
intel_agp 21148 1
i2c_core 19680 1 i2c_piix4
pcspkr 3072 0
agpgart 29896 1 intel_agp
shpchp 33024 0
pci_hotplug 28704 1 shpchp
tsdev 7520 0
evdev 9088 0
ext3 119240 1
jbd 52456 1 ext3
mbcache 8356 1 ext3
usbhid 37248 0
ide_cd 36064 0
cdrom 32544 1 ide_cd
ide_disk 14848 3
epic100 18948 0
mii 5344 1 epic100
uhci_hcd 21164 0
usbcore 112644 3 usbhid,uhci_hcd
piix 9444 0 [permanent]
generic 5476 0 [permanent]
ide_core 110504 4 ide_cd,ide_disk,piix,generic
thermal 13608 0
processor 28840 1 thermal
fan 4804 0 [/quote]
Et uname -r :[quote]2.6.18-4-686[/quote]
Merci …en espérant qu’on progresse :slightly_smiling:
@++

#53

Je viens de survoler le fil: Pas d’idées géniales mais

  1. [quote]Ensuite, sur les recommandations de Badaboumpanpan j’ai modifié /cat/resolv.conf avec :
    Citation:
    nameserver 80.10.246.3
    nameserver 80.10.246.130
    nameserver 194.2.0.20
    nameserver 194.2.0.50

en plus de ceux déjà existant qui étaient :
Citation:
nameserver 80.10.246.1
nameserver 80.10.246.132
[/quote]
Tu peux mettre au plus trois serveurs de noms, au dela ça ne sert plus.

  1. Tu as du ipv6 qui peut mettre la pagaille, tu ne peux pas essayer de le virer?

  2. Si je comprend bien ça passe pour google et pas pour hotmail… Essaye en faisant

Sur une console de ta passerelle

tcpdump -i ppp0

sur un poste client, accès à google puis accès à hotmail pour voir si des choses partent et reviennent…

  1. route -n sur toin serveur est cohérent?
#54

Cela ne permet pas de passer d’un serveur à un autre lorsqu’il ne répond ? Pcq là où je bosse, je suis chez Wanadoo et une fois sur deux la moitié des serveur DNS ne répondent pas. M’enfin…

En quoi l’IPv6 mettrait le pagaille ???

#55

parfois l’ipv6 fout effectivement la zouille.
c’est simple à desactiver si c’est pas en dur dans le noyau.
en mettant quelque part dans un fichier de /etc/modprobe.d, soit:alias net-pf-10 offsoitblacklist ipv6

#56

Cela ne permet pas de passer d’un serveur à un autre lorsqu’il ne répond ? Pcq là où je bosse, je suis chez Wanadoo et une fois sur deux la moitié des serveur DNS ne répondent pas. M’enfin…

En quoi l’IPv6 mettrait le pagaille ???[/quote]

La résoltuion de noms n’utilisent que 3 serveurs de noms au plus, pénible mais c’est (en tout cas c’était) comme ça.

Tu as une carte qui a une adresse IPV6 et pas IPV4 (la eth0). Ça peut être gênant, j’gnore comment se passe les transitions IPV4<->IPV6 mais il vaut mieux bloquer les routes dont tu ne te sers pas.

#57

le passage entre les deux se fait tunnel par un device sit (typiquement sit0).
Mais faut pas m’en demander plus :wink:
mboucey.free.fr/Linux+IPv6-HOWTO-fr/index.html
mboucey.free.fr/Linux+IPv6-HOWTO … nnels.html

#58

Bonjour,

Bon, je reviens vers vous afin de vous faire part de l’avancement et de la solution à mon problème.

Lors de ma première installation, au boot du CD (après avoir lu sur le net) j’ai entré la commande :install modules=ppp-udeb
J’ai ainsi pu installer le protocole ppp pour pouvoir me connecter sur le Net. Dans la suite de l’installation, il détectait la carte réseau sur laquelle était connecté le modem puis il demandait log et pass de ma connexion…bref, j’arrivais à faire fonctinner ma connexion Internet…mais pas le partage correctement.

J’avoue que j’ai longuement cherché, et je dois remercier Badaboumpanpan qui m’a considérablement aidé dans cette entreprise. J’ai ensuite décidé d’insérer un Router avec port WLAN afin de refaire mon installation complètement et voir si mon partage de connexion Internet fonctionnait…
Tout à parfaitement fonctionné :smiley: J’ai pu expérimenté les règles iptables (ce n’est pas terminé aujourd’hui)…bref tout allait bien.

Mais je suis têtu…je n’ai pas voulu abandonné. J’ai alors longuement parcouru le Net, et j’ai rentré la commande suivante :apt-get install ppp pppoe pppoeconf
Puis lancé la commande pppoeconf
qui m’a permit (après avoir reconnecté mon Modem directement sur ma carte réseau) de pouvoir configurer ma connexion (log + pass)…et là, surprise, tout fonctionne parfaitement. Le Nat, Firewall…bref.

J’avoue ne pas comprendre ce qui s’est passé, mais aujourd’hui Debian tourne parfaitement…Merci à vous.

Je ne manquerai pas de revenir avec mes petites questions :smiley:
@+++