Pb d'accés a wanadoo sur le reseau local ?

dbutant · Février 20, 2016, 11:58am

bonjour a tous.
voila mon souci , j’ai un poste qui me sert de paserelle sous sarge.mais mon reseau local a du mal a accéder a certains sites , dont wanadoo (mon provider).Par contre , du poste passerelle , je n’ai aucun souci. Des suggestions ou des personnes qui ont été confronté a ce mêm pb ? .
Merci de votre aide

mattotop · Février 20, 2016, 11:58am

Plus d’infos ?

jabba · Février 20, 2016, 11:58am

Tu as mis l’adresse de ta passerelle dans le /etc/resolv.conf de tes clients ?

dbutant · Février 20, 2016, 11:58am

En fait les clients sont sur windows.La passerelle est l’adresse ip de mon poste linux sur lequelle est l’accés vers internet.les sites comme google passent et d’autres encore mais wanadoo et quelques forums … ca ne passe pas.Des postes clients j’arrive a faire un ping sur le domaine wanadoo.fr et il fait la resolution de noms tres bien.
ah autres details qui peut interesser, les paquetages installés sur mon poste linux:
-bind9
-ipmasq
-postfix.

sur les postes sur windows , j’ai essayé de mettre directement les dns de wanadoo mais c’est encore plus lent , alors j’ai mis comme adresse primaire dns l’ip de ma passeresse linux.
merci en tout cas de vos réponses

jabba · Février 20, 2016, 11:58am

Ta passerelle, tu l’as configurée comment ?
Il y a toute une procédure pour configurer un poste en tant que passerelle.
Si tu veux qu’on t’aide il faudra nous donner plus de détails …
On n’est pas devins

Sinon, j’ai vu un truc dans le guide de référence Debian:
http://qref.sourceforge.net/Debian/reference/ch-install.fr.html#s-post-inst

3.7.5 Étranges problèmes d’accès à certains sites web

Les noyaux Linux récents activent ECN par défaut, ce qui peut causer des problèmes d’accès à certains sites web situés derrière de mauvais routeurs. Pour vérifier l’état d’ECN
 # cat /proc/sys/net/ipv4/tcp_ecn
  ... ou
 # sysctl net.ipv4.tcp_ecn
Pour le désactiver, utilisez
 # echo "0" > /proc/sys/net/ipv4/tcp_ecn
  ... ou
 # sysctl -w net.ipv4.tcp_ecn=0
Pour désactiver TCP ECN à chaque démarrage, éditer /etc/sysctl.conf et ajouter :
 net.ipv4.tcp_ecn = 0

Encore un peu de doc:
http://ceyquem.free.fr/www/articles/passerelle_freebox/passerelle_freebox.htm

dbutant · Février 20, 2016, 12:00pm

merci pour ton aide jabba.J’ai en effet lu cet article et ca ne marche pas , mon tcp_ecn est a 0.
quelques details.
-je n’ai pas de dhcp sur mon reseau déja

voici le resultat de la commande iptables -L

Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all – anywhere anywhere
LOG all – 127.0.0.0/8 anywhere LOG level warning
DROP all – 127.0.0.0/8 anywhere
ACCEPT all – anywhere 255.255.255.255
ACCEPT all – localnet/24 anywhere
ACCEPT !tcp – anywhere BASE-ADDRESS.MCAST.NET/4
LOG all – localnet/24 anywhere LOG level warning
DROP all – localnet/24 anywhere
ACCEPT all – anywhere 255.255.255.255
ACCEPT all – anywhere AStDenis-103-1-5-184.w81-248.abo.wanadoo.fr
LOG all – anywhere anywhere LOG level warning
DROP all – anywhere anywhere

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT all – localnet/24 anywhere
ACCEPT all – anywhere anywhere state RELATED,ESTABLISHED
LOG all – anywhere localnet/24 LOG level warning
DROP all – anywhere localnet/24
LOG all – anywhere anywhere LOG level warning
DROP all – anywhere anywhere

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all – anywhere anywhere
ACCEPT all – anywhere 255.255.255.255
ACCEPT all – anywhere localnet/24
ACCEPT !tcp – anywhere BASE-ADDRESS.MCAST.NET/4
LOG all – anywhere localnet/24 LOG level warning
DROP all – anywhere localnet/24
ACCEPT all – anywhere 255.255.255.255
ACCEPT all – AStDenis-103-1-5-184.w81-248.abo.wanadoo.fr anywhere
LOG all – anywhere anywhere LOG level warning
DROP all – anywhere anywhere

et le resultat de la commande route

Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
AStDenis-103-1- * 255.255.255.255 UH 0 0 0 ppp0
localnet * 255.255.255.0 U 0 0 0 eth0
default AStDenis-103-1- 0.0.0.0 UG 0 0 0 ppp0

y a t-il d’autres fichiers ou le résultats d’autres commandes que tu aimerai avoir.
merci pour ton aide

mattotop · Février 20, 2016, 12:00pm

une chaine ACCEPT all – anywhere anywhere au début de INPUT et OUTPUT, ca ne protège pas grand chose.
Par ailleurs, qu’as tu en nat (iptables -L -t nat) ?

dbutant · Février 20, 2016, 12:00pm

voila ce que j’ai en iptables -L -t nat

Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all – localnet/24 anywhere
MASQUERADE all – anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

dbutant · Février 20, 2016, 12:00pm

de plus , quelque chose me turlupine , comme sauvegarder sa configuration iptables sous debian ?? afin qu’il recharge la même config aprés reboot ?.Je ne trouve dans quel fichier la sarge sauvegarde les paramètres

Tub-95 · Février 20, 2016, 12:00pm

Pour cela, tu le stock dans un script que tu exécute au démarrage de ta debian

dbutant · Février 20, 2016, 12:00pm

bon d’accord , mais son script de demarrage par default il le stocke ou ?

jabba · Février 20, 2016, 12:00pm

Essayes déjà de virer temporairement ta configuration iptable, ensuite si le problème est résolu, tu pourras déjà en déduire que ton problème est peut-être lié à iptable.

/etc/init.d et ensuite tu utilises update-rc.d pour créer les liens proprement…
Tu pourrais aussi placer tes commandes dans un script qui est appelé au moment de l’activation de ton interface réseau, si c’est un modem, par exemple…

Mais il me semble qu’il y a une commande pour stocker la config iptable, ce qui éviterait de passer par les scripts init. Malheureusement je me rappelle plus comment faire…

dbutant · Février 20, 2016, 12:00pm

la commande sous mandrake etait iptables-save mais je l’ai essayé mais elle ne marche pas … bon on va creuser et lire lire lire et si j’ai trouvé ma solution je la poste.Merci a tous en tout cas pour votre aide .si jamais une bonne âme a des suggestions ou rencontre les même soucis , je suis toujours preneur …

mattotop · Février 20, 2016, 12:00pm

iptables-save et iptables-restore sont installés avec le paquet iptables.
Cherches mieux: ils ne sont pas dans le path de l’utilisateur moyen.

Bluenote1 · Février 20, 2016, 12:00pm

Essaye temporairement ta connexion en absence de pare-feu : exécute un script contenant ça :

#!/bin/sh

iptables -F
iptables -t nat -F

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

avec %sh [ce_script]

dbutant · Février 20, 2016, 12:00pm

hello bluenote.
Apres le petit script que tu m’as dis d’essayer , plus rien ne passe sur le reseau local.
le resutalt de la commande iptables -L apres le script

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

c’est ce que tu voulais avoir ?

mattotop · Février 20, 2016, 12:00pm

bluenote a fait un petit oubli:
tu rajoutes un
iptables-t nat -A PREROUTING -o [ton interface internet] -j MASQUERADE
en fait, il a voulu te faire desactiver completement le pare feu, mais il a juste oublié de réactiver le partage de connection.
Tu fais cette modif, et ensuite, tu fais tes tests.
Si ca marche, c’est que ton pare feu était trop fermé…

Bluenote1 · Février 20, 2016, 12:01pm

Ah désolé, j’avais pas vu que tu faisais du masquage d’IP

dbutant · Février 20, 2016, 12:05pm

voila ce qu’il me donne apres la commande iptables -t nat -A PREROUTING -o eth0 -j MASQUERADE

iptables v1.2.11: Can’t use -o with PREROUTING

bon…

BobX · Février 20, 2016, 12:05pm

Oui, MASQUERADE il me semble plutôt que ça s’utilise en POSTROUTING non?