Le problème est simple :
1 reseaux local avec plusieurs machines,  
1 firewall avec deux cartes ethernet, 1 sur le réseaux local, l'autre sur le Speed Touch (Home) et bien sur la liaison ADSL derrière le modem.
 
De n'importe quelle machine j'arrive a surfer sur le modem et
voir sa configuration (interface Web de configuration du Speed Touch) donc le reseaux local et le firewall fonctionnent parfaitement.        
 
Par ailleurs, j'ai appelé wanadoo, pas de problème de conexion,
l'opérateur voit passer mes "adsl-start" et "adsl-stop" et est
même capable de me donner l'IP attribuée à mon PPP0... donc pas
de problème du côté de la conexion elle même...
 
Seulement dès qu'il s'agit d'aller plus loin que le modem :
DESTINATION HOST UNREACHABLE      
 
Il semble que le modem ne propage pas les requettes vers l'extérieur ??? Quelqu'un sait d'où ça peut venir ??? Il faut configurer le Modem ????

[jfdsdjhfuetppo]--Message édité par SebC le 30-04-2002 à 14:23:57--[/jfdsdjhfuetppo]

up ??

t'es sûr d'avoir bien configuré les dns (nameserver 192.252.19.3 et nameserver 193.252.19.4 dans /etc/resolv.conf) sur tes machines et les routes par défaut ?

Oui, d'ailleurs le Ping (vers une IP extérieure) depuis n'importe qu'elle machine du système arrive jusqu'au Modem...
Donc il essaye bien de sortir...
 
Mais je suis actuellement sur une autre piste : Netissimo, FT et
wanadoo ne sont pas sur que "tout a bien été configuré",
ma ligne ADSL est toute fraiche et ils sont un peu perdu :
 
Wanadoo : Pouver vous pinguer l'IP affecté sur votre PPP0
Moi : Oui, impecable
Wanadoo : c'est marrant mais, pour moi, le ping sur votre IP PPP0 marche pas et le traceroute s'arrète a Montpellier  (j'suis à Nîmes).....
 
Il a raison c'est vachement drole.... moi ça fait 2 jours que
j'essaye de faire des ping        
 
Au fait, physiquement, cette IP du PPP0 est où ?? Chez moi ou chez Netissimo ?????

L'ip qui se trouve juste apres inet addr est celle qui est affectée a ton modem par wanadoo donc qd tu la pings ca revient a te pinger toi meme donc c normal que de ton ctoe ca marche toujours

Oui, mais je ping aussi bien celle qui est après inet add que celle après P-t-P, vu les timing, j'ai la sensation que P-t-P
est ailleurs que chez moi, d'ailleurs le modem s'affole en TX RX quand je fait ça....
 
Y'aurai quelqu'un sur le net pour faire un ping sur 193.253.197.227, c'est mon IP PPP0, histoire de voir si
j'suis visible ????

flamm@FarStar:~$ ping 193.253.197.227
PING 193.253.197.227 (193.253.197.227): 56 octets data
 
--- 193.253.197.227 ping statistics ---
12 packets transmitted, 0 packets received, 100% packet loss
 
voilà t'es pas visible

au fait c'est ton firewall qui sert de router ou directement ton modem ?

C'est à dire....
J'suis pas sur de comprendre...
 
Pour ma conf : le firewall est une machine physique à deux interfaces ethernet entre les deux j'ai un firewall par  
IPTABLE (noyau 2.4.XX), le modem est sur eth0 et me fourni l'interface vers l'ADSL... ça repond à ta question ???

[jfdsdjhfuetppo]--Message édité par SebC le 29-04-2002 à 19:58:03--[/jfdsdjhfuetppo]

presque : en fait c'est que tu appelles ton firewall qui se charge du NAT (Network Address Translation) visiblement grace à Netfilter (dont iptables est l'outil de configuration)
 
Mais je crois savoir qu'il existe également un manip pour que ce soit directement le modem qui se charge du NAT, mais je pense pas que ce soit ton cas.
 
Y a moyen qu'on voit ton script iptables avec lequel tu configures ton firewall ? des fois qu'il y ait des trucs qui clochent dedans

Pour l'instant c'est le script de base rc.firewall-2.4 :
http://www.tldp.org/HOWTO/IP-Masqu [...] mples.html
 
 
#!/bin/sh
#
# rc.firewall-2.4
FWVER=0.63
#
#               Initial SIMPLE IP Masquerade test for 2.4.x kernels
#               using IPTABLES.  
#
#               Once IP Masquerading has been tested, with this simple  
#               ruleset, it is highly recommended to use a stronger  
#               IPTABLES ruleset either given later in this HOWTO or  
#               from another reputable resource.
#
#
#
# Log:
#       0.63 - Added support for the IRC IPTABLES module
#       0.62 - Fixed a typo on the MASQ enable line that used eth0
#              instead of $EXTIF
#       0.61 - Changed the firewall to use variables for the internal
#              and external interfaces.
#       0.60 - 0.50 had a mistake where the ruleset had a rule to DROP
#              all forwarded packets but it didn't have a rule to ACCEPT
#              any packets to be forwarded either
#            - Load the ip_nat_ftp and ip_conntrack_ftp modules by default
#       0.50 - Initial draft
#
 
echo -e "\n\nLoading simple rc.firewall version $FWVER..\n"
 
 
# The location of the 'iptables' program
#
#   If your Linux distribution came with a copy of iptables, most
#   likely it is located in /sbin.  If you manually compiled  
#   iptables, the default location is in /usr/local/sbin
#
# ** Please use the "whereis iptables" command to figure out  
# ** where your copy is and change the path below to reflect  
# ** your setup
#
#IPTABLES=/sbin/iptables
IPTABLES=/usr/local/sbin/iptables
 
 
#Setting the EXTERNAL and INTERNAL interfaces for the network
#
#  Each IP Masquerade network needs to have at least one
#  external and one internal network.  The external network
#  is where the natting will occur and the internal network
#  should preferably be addressed with a RFC1918 private address
#  scheme.
#
#  For this example, "eth0" is external and "eth1" is internal"
#
#  NOTE:  If this doesnt EXACTLY fit your configuration, you must  
#         change the EXTIF or INTIF variables above. For example:  
#
#               EXTIF="ppp0"  
#
#            if you are a modem user.
#
EXTIF="eth0"
INTIF="eth1"
echo "   External Interface:  $EXTIF"
echo "   Internal Interface:  $INTIF"
 
 
#======================================================================
#== No editing beyond this line is required for initial MASQ testing ==
 
 
echo -en "   loading modules: "
 
# Need to verify that all modules have all required dependencies
#
echo "  - Verifying that all kernel modules are ok"
/sbin/depmod -a
 
# With the new IPTABLES code, the core MASQ functionality is now either
# modular or compiled into the kernel.  This HOWTO shows ALL IPTABLES
# options as MODULES.  If your kernel is compiled correctly, there is
# NO need to load the kernel modules manually.  
#
#  NOTE: The following items are listed ONLY for informational reasons.
#        There is no reason to manual load these modules unless your
#        kernel is either mis-configured or you intentionally disabled
#        the kernel module autoloader.
#
 
# Upon the commands of starting up IP Masq on the server, the
# following kernel modules will be automatically loaded:
#
# NOTE:  Only load the IP MASQ modules you need.  All current IP MASQ  
#        modules are shown below but are commented out from loading.
# ===============================================================
 
#Load the main body of the IPTABLES module - "iptable"
#  - Loaded automatically when the "iptables" command is invoked
#
#  - Loaded manually to clean up kernel auto-loading timing issues
#
echo -en "ip_tables, "
/sbin/insmod ip_tables
 
 
#Load the IPTABLES filtering module - "iptable_filter"  
#  - Loaded automatically when filter policies are activated
 
 
#Load the stateful connection tracking framework - "ip_conntrack"
#
# The conntrack  module in itself does nothing without other specific  
# conntrack modules being loaded afterwards such as the "ip_conntrack_ftp"
# module
#
#  - This module is loaded automatically when MASQ functionality is  
#    enabled  
#
#  - Loaded manually to clean up kernel auto-loading timing issues
#
echo -en "ip_conntrack, "
/sbin/insmod ip_conntrack
 
 
#Load the FTP tracking mechanism for full FTP tracking
#
# Enabled by default -- insert a "#" on the next line to deactivate
#
echo -en "ip_conntrack_ftp, "
/sbin/insmod ip_conntrack_ftp
 
 
#Load the IRC tracking mechanism for full IRC tracking
#
# Enabled by default -- insert a "#" on the next line to deactivate
#
echo -en "ip_conntrack_irc, "
/sbin/insmod ip_conntrack_irc
 
 
#Load the general IPTABLES NAT code - "iptable_nat"
#  - Loaded automatically when MASQ functionality is turned on
#  
#  - Loaded manually to clean up kernel auto-loading timing issues
#
echo -en "iptable_nat, "
/sbin/insmod iptable_nat
 
 
#Loads the FTP NAT functionality into the core IPTABLES code
# Required to support non-PASV FTP.
#
# Enabled by default -- insert a "#" on the next line to deactivate
#
echo -en "ip_nat_ftp, "
/sbin/insmod ip_nat_ftp
 
 
# Just to be complete, here is a list of the remaining kernel modules  
# and their function.  Please note that several modules should be only
# loaded by the correct master kernel module for proper operation.
# --------------------------------------------------------------------
#
#    ipt_mark       - this target marks a given packet for future action.
#                     This automatically loads the ipt_MARK module
#
#    ipt_tcpmss     - this target allows to manipulate the TCP MSS
#                     option for braindead remote firewalls.
#                     This automatically loads the ipt_TCPMSS module
#
#    ipt_limit      - this target allows for packets to be limited to
#                     to many hits per sec/min/hr
#
#    ipt_multiport  - this match allows for targets within a range
#                     of port numbers vs. listing each port individually
#
#    ipt_state      - this match allows to catch packets with various
#                     IP and TCP flags set/unset
#
#    ipt_unclean    - this match allows to catch packets that have invalid
#                     IP/TCP flags set
#
#    iptable_filter - this module allows for packets to be DROPped,  
#                     REJECTed, or LOGged.  This module automatically  
#                     loads the following modules:
#
#                     ipt_LOG - this target allows for packets to be  
#                               logged
#
#                     ipt_REJECT - this target DROPs the packet and returns  
#                                  a configurable ICMP packet back to the  
#                                  sender.
#  
#    iptable_mangle - this target allows for packets to be manipulated
#                     for things like the TCPMSS option, etc.
 
echo ".  Done loading modules."
 
 
 
#CRITICAL:  Enable IP forwarding since it is disabled by default since
#
#           Redhat Users:  you may try changing the options in
#                          /etc/sysconfig/network from:
#
#                       FORWARD_IPV4=false
#                             to
#                       FORWARD_IPV4=true
#
echo "   enabling forwarding.."
echo "1" > /proc/sys/net/ipv4/ip_forward
 
 
# Dynamic IP users:
#
#   If you get your IP address dynamically from SLIP, PPP, or DHCP,  
#   enable this following option.  This enables dynamic-address hacking
#   which makes the life with Diald and similar programs much easier.
#
echo "   enabling DynamicAddr.."
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
 
 
# Enable simple IP forwarding and Masquerading
#
#  NOTE:  In IPTABLES speak, IP Masquerading is a form of SourceNAT or SNAT.
#
#  NOTE #2:  The following is an example for an internal LAN address in the
#            192.168.0.x network with a 255.255.255.0 or a "24" bit subnet mask
#            connecting to the Internet on external interface "eth0".  This
#            example will MASQ internal traffic out to the Internet but not
#            allow non-initiated traffic into your internal network.
#
#            
#         ** Please change the above network numbers, subnet mask, and your  
#         *** Internet connection interface name to match your setup
#          
 
 
#Clearing any previous configuration
#
#  Unless specified, the defaults for INPUT and OUTPUT is ACCEPT
#    The default for FORWARD is DROP
#
echo "   clearing any existing rules and setting default policy.."
$IPTABLES -P INPUT ACCEPT
$IPTABLES -F INPUT  
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F OUTPUT  
$IPTABLES -P FORWARD DROP
$IPTABLES -F FORWARD  
$IPTABLES -t nat -F
 
echo "   FWD: Allow all connections OUT and only existing and related ones IN"
$IPTABLES -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
$IPTABLES -A FORWARD -j LOG
 
echo "   Enabling SNAT (MASQUERADE) functionality on $EXTIF"
$IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
 
echo -e "\nrc.firewall-2.4 v$FWVER done.\n"
 
 
rien de bien méchant...

[jfdsdjhfuetppo]--Message édité par SebC le 29-04-2002 à 20:44:08--[/jfdsdjhfuetppo]

A priori le mechanisme netfilter fonctione correctement :
si je ping de l'intérieur de mon réseau privé le modem ADSL : no
problem, j'peux même browser la configuration (Web) du modem
depuis n'importe quelle machine de mon LAN privé.
Si maintenant je tente un ping mon réseau interne depuis mon if eth0 (coté modem ADSL) rien ne passe, logique...
 
Par contre dès que je ping plus loin que mes if PPP0 : DESTINATION HOST UNREACHABLE    
 
C'est bien le problème !!!

ben ton script iptables m'a pas l'air top (en ce qui concerne le SNAT)
 
Suit mon script basé (pour ne pas dire recopié) sur un script très connu :
 

#!/bin/sh ligne à virer si tu l'intègre dans ton propre script
 
echo " Table Filter (table par défaut)."
echo ---------------------------------
echo Vidage des chaînes
iptables -F
 
echo "Destruction des chaînes personnelles"
iptables -X
 
echo "Stratégie par défaut:"
echo "INPUT et FORWARD sont DROP"
iptables -P INPUT DROP
iptables -P FORWARD DROP
 
echo "OUTPUT est ACCEPT"
iptables -P OUTPUT ACCEPT
 
echo "Création d une chaîne personnelle: SCON"
iptables -N SCON
 
echo " Filtrage de suivi dans cette chaîne:"
echo " Seules les nouvelles connexions qui ne viennent pas du Net sont acceptées"
echo " (ppp0 est l interface sur le Net)"
iptables -A SCON -m state --state NEW -i ! ppp0 -j ACCEPT
echo "le ! est l opérateur logique NOT"
 
echo "Toutes les connexions établies et relatives sont acceptées"
iptables -A SCON -m state --state ESTABLISHED,RELATED -j ACCEPT
 
echo "Et les deux chaines INPUT et FORWARD pointent sur SCON"
iptables -A INPUT -j SCON
iptables -A FORWARD -j SCON
 
echo " Init. des tables NAT et MANGLE:"
echo "--------------------------------"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
 
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
 
echo " Mise en place du NAT"
echo "---------------------"
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
 
echo 1 > /proc/sys/net/ipv4/ip_forward
 
 
echo "Ouverture du port ssh (22) depuis internet"
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

 
tu pourrais le mettre en remplacement de la sectionsituée a la fin d ton fichier qui va de :
 
 #CRITICAL:  Enable IP forwarding since it is disabled by default since  
 
à
 
  $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE
 
 
 
au fait je viens de voir un truc :
 
ton script rc.firewall-2.4 fonctionne avec les variables suivantes :
 
interface vers le net : eth0
interface vers le réseau local : eth1
 
ce qui semble logique puisque ton modem est branché sur une carte ethernet.
La question que je me pose c'est : est-ce qu'avec un pppoe on doit pas remplacer  eth0 par ppp0 ?
 
le ppp0 dont tu parles depuis le début.
 
voilà

[jfdsdjhfuetppo]--Message édité par FlamM le 29-04-2002 à 22:01:04--[/jfdsdjhfuetppo]

Merci pour ton script de Firewall, une fois le Net OK, je
durcirai les règles de mon firewall et ton script m'aidera  
pour ça. Merci.
 
Hier soir dans un dernier élan de motivation, j'me suis
rendu compte que ma route par défaut (0.0.0.0) allait vers
le modem 10.0.0.138, donc rien d'étonnant à ce que rien n'aille
plus loin que le modem lui même....
Du coup j'ai modifé le 10.0.0.138 par la passerelle Netissimo
de mon lien PPP0 (le fameux P-t-P) et là Miracle, mon ping vers
l'extèrieur est sorti, j'ai même pu faire un traceroute avec
jusqu'en angleterre... bref sur le net....          
 
Donc, si je capte bien il faut que dynamiquement à la conexion
je crée une route par défault vers mon lien PPP....
Quand à l'eth0 dans le script firewall qu'il faut remplacer par
PPP0, ça me semble carrément logique maintenant que t'en parles... Le truc c'est qu'au moment ou mon firewall démarre
l'ADSL n'est pas encore en fonctionnement donc pas encore de lien
PPP0. Faut qu'je bidouille mon script ADSL-start
 
Question (con) : en définissant des routes sur ma passerelle
est ce que je peux me retrouver dans une situation ou les routes
contournent le mechanisme d' IP Masquerade ? Ou encore, Netfilter IP masquerading IPTables prennent-ils bien en compte les routes définies....

A priori (tiens je me rend compte que j'utilise souvant cette expression )
les routes que tu définis sur ta passerelle ne concerne qu'elle vu qu'il s'agit d'une couche de plus haut niveau que celle de netfilter, qui gère le nat et vient d'abord vu que c'est dans le noyau.

J'y suis presque....
J'ai corrigé dans le fichier firewall eth0 -> ppp0 et
ça marche bien : depuis mes machine interne (et en définissant
à la main les routes) j'peux pinguer le net... hi haaaaa !!!
 
Reste deux points à clarifier :
1-Où sont définies les routes par défault du système ??
Visiblement j'ai une route 0.0.0.0 qui va sur mon modem
10.0.0.138 et le script adsl-start stipule (he oui) que
si une route par défaut est définie, il n'en définie pas
vers le PPP0.... d'ou problème...
 
2-Ma résolution de nom ne marche pas !!!
J'peux pinguer en IP mais pas en nom de domaine...

1/ sur une Slack (désolé c'est ce que j'utilise mais ce que je vais dire doit être valable pour toi même s'il s'agit pas du même fichier exactement, cherche ce qui correspond)
le réseau est configuré dans /etc/rc.d/rc.inet1 pour la config IP et route et dans /etc/rc.d/rc.inet2 pour les services et démons en relation avec le réseau (chez toi ça doit être quelque part dans /etc/initd ou /etc/rc.d)
pour ce qui est de la route par défaut vers le net sur ta passerelle elle doitv être automatiquement configurée par le pppd, si jamais c'est pas le cas rajoute la commande à la fin de ton script de connection.
 
2/ t'es sûr d'avoir mis les dns dans /etc/resolv.conf sur chacune de tes bécanes :
( nameserver 193.252.19.3 et nameserver 193.252.19.4), parce que c'est pas fait automatiquement par le pppd (même si il y aurait moyen vu que wanadoo les reprécise à chaque connection, t'as qu'à regarder dans /var/log/messages)
 
voilà
 
a+

merci beaucoup pour le coup de main
j essaie tout de suite
 
ha, sa ca pouvait marcher, ca me libererait
de cette fichue connexion modem a 33.6 k !!!!
 
et ce serait .... le bonheur        

en tout cas c'est pas la solution de pomper des scripts tout faits, ca ne fonctionne jamais comme il faut, surtout si tu ne comprends pas les commandes utilisees
 
fais ton script de firewall toi meme, ca sera bien plus efficace!!!
 
recuperes le iptables howto qui est tres bien fait et fais ton script, c'est pas bien dur
 
si tu veux un coup de main, hesites pas
 
et enfin pour la route par defaut elle doit s'etablir d'elle meme par le demon pppd
 
pour les dns, mets a jour ton /etc/resolv.conf avec
 
nameserver 194.117.200.10
nameserver 194.117.200.15
 
c'est ceux de club-internet, ca marche aussi bien et ils deconnent moins souvent que ceux de wanadoo !! :-)

En fait, j'avais (sur mandrake 8.1) une route définie dans /etc/sysconfig/network qui définissait 10.0.0.138 (mon modem)
comme passerelle.... j'lai viré, et le script adsl-start a pu
ainsi créer comme passerelle par défaut le lien ppp0 au lieu
de mon modem.....
Pour les DNS, j'ai ajouté les DNS dans /etc/resolv.conf, impec
 
Ca marche nickel !!!!!!!!!          
 
Merci a tous pour votre aide.
 
J'vais durcir le script Firewall et ajouter les DNS de
Club-internet.  
 
Merci, j'hesite donc pas si j'ai des questions sur Netfilter.
 
A+,
Seb

[jfdsdjhfuetppo]--Message édité par SebC le 30-04-2002 à 14:29:02--[/jfdsdjhfuetppo]