Bonjour,
Pour une association je veux mettre en place pour une école ce réseau pour initier les enfants à l’informatique par les jeux et aussi à linux.
Donc le réseau est découpé en trois sous réseaux: premier comme tout le monde le deuxième passe pas IPCOP et le troisième est le LTSP.
Voilà mon souci, avec packet tracer tout fonctionne, c’est à dire je peux à partir de la LB pinguer tous mes PC Serveurs et routeurs sur les sous réseaux 192.168.1.0 192.168.3.0 et 192.168.4.0,
d’IPCOP je peux pinguer tous mes PC Serveurs sur les sous réseaux 192.168.1.0 192.168.3.0 et 192.168.4.0 et idem à partir de serv1(lstp), des différents PC sur le réseau je peux accéder partout sur le réseau,donc tout fonctionnerait à merveille.
Dans la réalité quand si je veux pinguer à partir du PC TOTO(192.168.1.45) sur 192.168.3.2 délai d’attente dépassé, hors je veux pouvoir administrer de l’extérieur tous ces sous-réseaux.
Auparavant mon LTSP était dans le sous réseau 192.168.1.0 et pas de problème, mais pour le sécuriser j’ai préféré le mettre derrière IPCOP n’étant pas encore un expert en matière d’Iptable.
Voici les différentes tables routages:
LIVEBOX : pour le 192.168.3.0/24 via 192.168.1.80
192.168.4.0/24 via 192.168.3.80
192.168.3.0/24 via 192.168.3.80 == ?
IPCOP : pour le 192.168.4.0/24 via 192.168.3.2
192.168.1.0/24 via 192.168.1.1
serv1 : pour le 192.168.1.0/24 via 192.168.3.80.
Je ne sais pas si vous pourrez voir sur le fichier joint le schéma du réseau!!!
Si parmi vous quelqu’un voyait ou ca peut coincer IPCOP serv1 ou LB je suis preneur.
Merci d’avance. 
c’est un beau réseau, les routes ont l’air correctes, tes Fw autorise bien le ping et traffic des poste client ?
Que donne un tracert depuis un poste client a destination de 192.168.3.2 ?
Bonjour et merci de cette rapide intervention,
Oui les pings sont autorisés,
et comme vous allez le constater si je fais un ping de serv1 vers le pc toto pas de souci???
Par contre le traceroute est bizarre comme incomplet???
peu tu afficher tes regles iptables ?
Sur le serv1 je n’en ai plus, je n’ai que celle d’IPCOP qui sont encore moins simple à saisir les veux tu ?
oui affiche les ca sera utile.
affiche aussi le resultat de route -n de tes 2 FW.
J’ai bien les routes mais je ne me rappelle plus ou se trouve l’iptable d’IPCOP où alors celle que j’ai vu qui s’auto paramètre bonjour pour la compréhension.
pour afficher les regles iptables :
iptables -nvL
Encore merci infernum,
voici les iptables en pieces jointes.
Salut,
Tu n’as pas moyen de faire des “copier/coller” plutôt que des captures ? Les captures c’est mortel à lire…
Encore merci infernium, le fait d’avoir parlé d’iptable a fait que je me suis bien penché sur la question, j’ai donc rajouté quelques règles à mon serv1 et je peux enfin en ssh prendre la main sur serv1. Excuses moi lol pour ces capture d’écrans longues il est vrai
[quote]Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
1867 1300K ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp – eth0 * 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 ACCEPT udp – eth0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp – eth0 eth1 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
2079 321K ACCEPT all – * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED
0 0 ACCEPT icmp – * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp – * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
[/quote] je pense que tu verras que je fais un effort!
Merci encore à l’équipe et bravo pour la réactivité.
Bonjour me revoilà pour le même souci,
Bonjour,
je pensais que c’était bon mais non de serv1 je peux pinguer tous les réseaux (192.168.1.80 192.168.3.80 192.168.3.2),
d’ipcop (192.168.1.1 192.168.1.45 192.168.3.2), par contre de PC0 je peux pinguer ipcop mais pas serv1(192.168.3.2)
génant quand on veut le gérer à distance!
Voici mon iptables sur serv1
#!/bin/sh
permission de routage
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack
modprobe iptable_nat
modprobe ip_gre
on accepte tout par défaut
echo "1"
iptables -t nat -P OUTPUT ACCEPT || exit
iptables -t nat -P PREROUTING ACCEPT || exit
iptables -t nat -P POSTROUTING ACCEPT || exit
iptables -t filter -P INPUT ACCEPT || exit
iptables -t filter -P OUTPUT ACCEPT || exit
iptables -t filter -P FORWARD ACCEPT || exit
iptables -t mangle -P INPUT ACCEPT || exit
iptables -t mangle -P OUTPUT ACCEPT || exit
iptables -t mangle -P FORWARD ACCEPT || exit
iptables -t mangle -P PREROUTING ACCEPT || exit
iptables -t mangle -P POSTROUTING ACCEPT || exit
echo “2”
#on flush
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
echo “3”
on accepte tous les paquets d’une chaine input output et forward d’une connexion déjà établie
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
echo “4”
la première ligne permet de ne plus avoir accès au réseau lan, si on veut pinger sur l’ensemble du réseau
commenter la première ligne
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPT
echo “7”
règle qui permet une requete du lan de sortir sur internet ou en dns
iptables -t filter -A FORWARD -i eth0 -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
echo “8”
règle qui masque leur adresse privée par celle du fw interface public
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo “10”
règle pour accepter les connexion ssh
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
echo "100"
iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp --dport 22 -j ACCEPT
règle pour accepter FreeNas
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT
echo “102”
règle pour accepter vpn
iptables -I INPUT -p udp --dport 1723 -j ACCEPT
iptables -I INPUT -p udp --dport 8147 -j ACCEPT
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p tcp --dport 8147 -j ACCEPT
iptables -I FORWARD -i tun1 -j ACCEPT
iptables -I FORWARD -o tun1 -j ACCEPT
iptables -I INPUT -i tun1 -j ACCEPT
iptables -I OUTPUT -o tun1 -j ACCEPT
echo “12”
règles qui interdisent certains ports comme 1900 pour UPnP
#iptables -A INPUT --p udp --dport 1900 --destination 239.255.255.250 --j DROP
#iptables -A OUTPUT --p udp --dport 1900 --destination 239.255.255.250 --j DROP
echo “13”
Autorise l’interface loopback à dialoguer avec elle-même
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
echo “14”
Autorise les connexions avec le réseau 192.168.4.0/24 connecté à l’interface eth1
iptables -t filter -A OUTPUT -o eth1 -s 192.168.4.0/24 -d 192.168.4.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -s 192.168.4.0/24 -d 192.168.4.0/24 -j ACCEPT
echo “16”
Autorise les connexions avec internet uniquement si elles sont initialisées par
les process locaux
iptables -t filter -A OUTPUT -o eth0 -s 192.168.3.2 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.3.2 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
echo "17"
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
exit 1
voici ma table de routage sur serv1
192.168.1.0/24 via 192.168.3.80
celle d’IPCOP
192.168.4.0/24 via 192.168.3.2
celle de la box
192.168.3.0/24 via 192.168.1.80
192.168.3.0/24 via 192.168.3.80
192.168.4.0/24 via 192.168.3.80
Je suis loin d’être un expert en iptables il est fort possible d’y avoir mis une bavure!
Donc en bref mon souci c’est de pouvoir gérer à distance ce serv1.
Voici un schéma pour configuration du réseau.
[quote=“autruche”]Bonjour me revoilà pour le même souci,
Bonjour,
je pensais que c’était bon mais non de serv1 je peux pinguer tous les réseaux (192.168.1.80 192.168.3.80 192.168.3.2),
d’ipcop (192.168.1.1 192.168.1.45 192.168.3.2), par contre de PC0 je peux pinguer ipcop mais pas serv1(192.168.3.2)
génant quand on veut le gérer à distance!
Voici mon iptables sur serv1
#!/bin/sh
permission de routage
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack
modprobe iptable_nat
modprobe ip_gre
on accepte tout par défaut
echo "1"
iptables -t nat -P OUTPUT ACCEPT || exit
iptables -t nat -P PREROUTING ACCEPT || exit
iptables -t nat -P POSTROUTING ACCEPT || exit
iptables -t filter -P INPUT ACCEPT || exit
iptables -t filter -P OUTPUT ACCEPT || exit
iptables -t filter -P FORWARD ACCEPT || exit
iptables -t mangle -P INPUT ACCEPT || exit
iptables -t mangle -P OUTPUT ACCEPT || exit
iptables -t mangle -P FORWARD ACCEPT || exit
iptables -t mangle -P PREROUTING ACCEPT || exit
iptables -t mangle -P POSTROUTING ACCEPT || exit
echo “2”
#on flush
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
echo “3”
on accepte tous les paquets d’une chaine input output et forward d’une connexion déjà établie
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT
echo “4”
la première ligne permet de ne plus avoir accès au réseau lan, si on veut pinger sur l’ensemble du réseau
commenter la première ligne
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPT
echo “7”
règle qui permet une requete du lan de sortir sur internet ou en dns
iptables -t filter -A FORWARD -i eth0 -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -p udp --dport 53 -j ACCEPT
echo “8”
règle qui masque leur adresse privée par celle du fw interface public
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo “10”
règle pour accepter les connexion ssh
iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
echo "100"
iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp --dport 22 -j ACCEPT
règle pour accepter FreeNas
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT
echo “102”
règle pour accepter vpn
iptables -I INPUT -p udp --dport 1723 -j ACCEPT
iptables -I INPUT -p udp --dport 8147 -j ACCEPT
iptables -I INPUT -p tcp --dport 1723 -j ACCEPT
iptables -I INPUT -p tcp --dport 8147 -j ACCEPT
iptables -I FORWARD -i tun1 -j ACCEPT
iptables -I FORWARD -o tun1 -j ACCEPT
iptables -I INPUT -i tun1 -j ACCEPT
iptables -I OUTPUT -o tun1 -j ACCEPT
echo “12”
règles qui interdisent certains ports comme 1900 pour UPnP
#iptables -A INPUT --p udp --dport 1900 --destination 239.255.255.250 --j DROP
#iptables -A OUTPUT --p udp --dport 1900 --destination 239.255.255.250 --j DROP
echo “13”
Autorise l’interface loopback à dialoguer avec elle-même
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
echo “14”
Autorise les connexions avec le réseau 192.168.4.0/24 connecté à l’interface eth1
iptables -t filter -A OUTPUT -o eth1 -s 192.168.4.0/24 -d 192.168.4.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -s 192.168.4.0/24 -d 192.168.4.0/24 -j ACCEPT
echo “16”
Autorise les connexions avec internet uniquement si elles sont initialisées par
les process locaux
iptables -t filter -A OUTPUT -o eth0 -s 192.168.3.2 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.3.2 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
echo "17"
iptables -A FORWARD -j DROP
iptables -A OUTPUT -j DROP
iptables -A INPUT -j DROP
exit 1
voici ma table de routage sur serv1
192.168.1.0/24 via 192.168.3.80
celle d’IPCOP
192.168.4.0/24 via 192.168.3.2
celle de la box
192.168.3.0/24 via 192.168.1.80
192.168.3.0/24 via 192.168.3.80
192.168.4.0/24 via 192.168.3.80
Je suis loin d’être un expert en iptables il est fort possible d’y avoir mis une bavure!
Donc en bref mon souci c’est de pouvoir gérer à distance ce serv1.
Voici un schéma pour configuration du réseau.[/quote]
slt
voilà ce que je te propose
effectue un test de ping entre pc0 et pc1 .s’il est bon tu peux pinguer serv1 sans pb, s’il n’est pas bon tu effectue un autre test entre pc0 et la 2e interface de ton ipcop s’il n’est pas bon alors le pb se pose au niveau au niveau de ton ipcop, tu verifie bien les regles de ton ipcop surtout si le forward est bien actif entre ses 2 interfaces.mais si le ping est bon alors tu verifie la règle sur les paquet icmp entrant sur ton serv1.
voici un lien ou tu peux avoir des manuels sur la configuration de ipcop:
google.fr/url?sa=t&source=we … hQ&cad=rja.
google.fr/url?sa=t&source=we … jg&cad=rja.
un conseil pour administrer ton server à distance tu dois te focaliser sur le onnexion ssh ou telnet et non le ping car on peut l’inonder à distance par un ping de la mort. 