Bonjour,
 
J'ai créé un firewall avec une station linux (sous fedora core 4). J'ai mis sur celui ci 2 cartes reseaux. La premiere eth0 est relié a un modem ethernet et la deuxieme eth1 est relié a mon reseau local. eth0 : 10.0.0.1 (modem : 10.0.0.138) / eth1 : 192.168.0.1 et le reseau interne 192.168.0.X.
J'ai mis un firewall avec iptables sur la station linux avec en regle POSTROUTING : iptables -t nat POSTROUTING -j MASQUERADE. Cette regle permet d'avoir une translation d'adresse pour que mon reseau interne puisse acceder a internet. Pour commencer j'ai mis les regles INPUT/ OUTPUT/ FORWARD ouvert (elles acceptent tous). Jusque la tout va bien ... sauf ....    je ne peux pas acceder a un site www.enst-bretagne.fr (c'est un exemple) et lorsque je regarde son IP public je me rend compte quelle commence par 192.108.X.X
 
Est ce que il y aurai a cause de l'adresse ip du site web, qui est proche de celle privé, un probleme de routage ?
 
 
PS : j'ai aussi mis cette option: echo 1 > /proc/sys/net/ipv6/ip_forward
 
Merci de me dire quoi faire.

/proc/sys/net/ipv6/ip_forward

desolé. je me suis trompé c'est echo 1> /proc/sys/net/ipv4/ip_forward.
 

Re j'ai vraiment oublié de mettre d'autres informations.
 
Donc du coté reseau interne (192.168.0.X) : je peux aller sur tous les sites webs sauf celui (www.enst-bretagne.fr y en a peut etre d'autres mais j'ai deja trouvé celui la). La resolution dns ce fait bien mais je peux pas pingé le site web...
Mais de mon firewall je peux acceder a ce site il repond au ping et la page web s'affiche. Donc c'est que ma regles iptable de POSTROUTING n'est pas correcte ?
 
Merci de me dire quoi faire...

-o eth0

Merci de ta réponse mais je l'ai deja essayé... sans succès. Une autre idée ?

quelqu'un aurait un site web avec une IP public commencant par 192.X.X.X  ??

-A POSTROUTING

le -A ou -I ne change rien. Le -I insert la regle a une position donnée et le -A l'ajoute a la suite. Donc comme j'ai pas de regle pour le POSTROUTING un -I ou -A ne change rien... mais merci quand meme. Personne n'a d'autre idée ? car je test tout les solutions possibles mais je trouve pas. Personne connait un logiciel libre permettant de suivre l'evolution d'un paquet dans un reseaux ?

comment ca "ne change rien"      
la regle que tu as donné au debut est fausse , alors excuse moi mais ajouter un -A devant POSTROUTING pour obtenir une regle syntaxiquement correct, ca change tout !!

ah oui pardon... j'ai oublié de mettre le -I devant POSTROUTING... desolé voila pourquoi j'ai parlé du -I. Excuse moi

mais le -I je l'avais mis dans IPTABLES... donc ca ne resout pas mon probleme...

la syntaxe correcte est  

efface la règle d'avant et met celle là à la place , dis nous ce que ça donne

Je suis desolé Tux85... mais ca ne donne rien j'ai toujours le meme probleme. Je me demande si c'est pas un probleme de netmask. Mais j'ai deja tout essayé sur ma carte eth0 j'ai essayé 255.0.0.0 et 255.255.255.0 mais sur eth1 j'ai toujours laissé 255.255.255.0. Donc quelqu'un a deja eu ce probleme ?

http://christian.caleca.free.fr/netfilter/

j'ai bien lu le site web...mais j'ai pas trouvé de solution a mon probleme..j'ai tout appliqué ce qui est expliqué. Personne n'a deja eu ce probleme ? car c'est un probleme de routage mais de quoi ?? mystere !!

voici ma table de routage de mon firewall :
 
route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
10.0.0.0         0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
169.254.0.0    0.0.0.0         255.255.0.0      U     0      0        0 eth1
0.0.0.0          10.0.0.138     0.0.0.0            UG    0      0        0 eth0

houla , probleme .
Bon deja quel est l'interface pour aller sur le net ?

ben eth0 va sur le net via un routeur/modem (10.0.0.138) et eth1 est mon reseau local (192.168.0.X). Mes machines local ont donc comme adresse ip : 192.168.0.X / passerelle : 192.168.0.1 et comme DNS : 10.0.0.138. Donc est qu il y a un probleme?

ca sert a quoi ce : 169.254.0.0    0.0.0.0         255.255.0.0      U     0      0        0 eth1 ? ( a mon avis a rien)
 
Sinon , ca a l'air bon .  
 
Montre nous ton script iptables stp

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  anywhere             anywhere
 
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere            tcp dpt:3388 to:192                                                                             .168.0.10
DNAT       tcp  --  anywhere             anywhere            tcp dpt:3389 to:192                                                                             .168.0.2
DNAT       tcp  --  anywhere             anywhere            tcp dpt:ssh to:10.0                                                                             .0.1
DNAT       tcp  --  anywhere             anywhere            tcp dpt:ftp-data to                                                                             :10.0.0.1
DNAT       tcp  --  anywhere             anywhere            tcp dpt:ftp to:10.0                                                                             .0.1

Concernant le routage de  169.254.0.0 je sais pas comment le retirer ?

Tu n'aurais pas un client dhcp sur une carte réseau ? (genre NetworkManager qui cherche un serveur ou autre ?)

Non j'ai pas de dhcp d'installer sur mon serveur... donc ca commence a me saouler ce probleme de routage... si quelqu'un a la solution...ca me soulagerai..!!

Faut-il que je fournisse d'autre log ou more de script ??

Une aide svp .....merci !!

Une petite question, quand tu dis :

ça se passe sur la passerelle Linux ou sur un client lambda ?
si c'est un client lambda alors verifie son masque de sous réseau car il y a de forte chance qu'il soit foireux (style 255.0.0.0) alors qu'il devrait être généralement en 255.255.255.0  

franchement la honte... j'ai un diplome DUT Génie Télécommunications & Réseaux... je suis trop degouté j etais persuadé que ca venait de mon firewall j'ai pas vérifié ma connexion reseau de mes client... CHAPEAU A TOI JLIGHTY. Ta de l'avenir ... lol..enfin merci beaucoup...
CONCLUSION : je suis une biloute !!!

Tu aurais dû préciser que ça arrivait sur tes clients et non ta passerelle, ainsi tu aurais eu ta réponse beaucoup plus tôt puisque les problèmes de sites injoignables avec une IP en 192.x.x.x sont généralement dû à un problème de masque sous réseau

oué je m'en doutais mais j'ai pas pensé a mes clients... la prochaine fois je me ferai plus avoir. Merci encore.