J'ai posté ça sur soft&rzo, mais personne répond... alors je reposte ici, mais j'insiste pas si j'ai pas de réponse, je sais que c lourd les up à répétition...
 
Je monte un serveur Proxy qui s'intercalera entre les Pcs de mon réseau et les serveurs (il servira à analyser le traffic).
J'ai donc 2 cartes rzo dessus, une en 192.168.0.1 qui part sur les PC clients, et l'autre en 192.168.1.1 qui part sur les serveurs.  
Ma table de routage (sous Debian) se présente donc comme suit :  
(peux pas faire de copier coller, dsl   )
192.168.1.0   0.0.0.0  255.255.255.0 U 0 0 0 eth0
192.168.0.0   0.0.0.0  255.255.255.0 U 0 0 0 eth1
default       192.168.1.99  0.0.0.0  UG 0 0 0 eth0
 
(où 192.168.1.99 est ma passerelle internet)
Mon pb est que les PC clients ne voient pas le rzo 192.168.1.0, sauf la carte du proxy....  
J'ai oublié qqchose ?
Merci d'avance  

T'es sur que c'est valide une adresse en x.x.0.x ??? pour moi les adresses en 0 est 255 correspondent au broadcast et ne peuvent pas être utilisées commes adresses ips pour des machines...
 
A ta place je mettrais 192.168.1.x et 192.168.2.x mais je me trompe peut-être, je suis pas spécialiste...

 
C'est koi la passerelle par default de tes postes clients ?
les postes clients doivent soit avoir comme passerelle par default 192.168.0.1 pu une route pour atteindre le réseau 192.168.1.0 255.255.255.0 gw 192.168.0.1
 
Sinon le probleme peut etre du à :
- Y'a t'il une solution de firewall installé sur le proxy ?
- Le routage est t'il activé sur ton proxy ?  

es-ce que tu arrive a la pinger depuis tes clients ?

pour info les adresse avec un 0 sont possible tout depend de ton masque
Donc 192.168.0.0 avec un mask de 255.255.255.0 est possible
T'es adresses vont de 192.168.0.0 à 192.168.0.255
Les adresses 192.168.0.0 et 192.168.0.255 sont réservés
192.168.0.0 adresse réseau et 192.168.0.255 adresse broadcast
 
donc adresse utilisable dabns cette clesse 192.168.0.1 -> 192.168.0.254

Je suis passé en 192.168.1.x au cas où, mais y'a pas de raison que ça soit ça...
Pas de firewall installé (c une install propre, j'ai rien configuré encore), et comment je fais pour vérifier le routage stp ?
Oui, je ping tout sur les 2 rzo depuis le proxy, mais depuis les clients, je ne vois rien au delà du proxy
Merci

C'est koi les passerelles par default de tes postes dans tes différents réseau ?
 
Pour des postes dans le réseau 192.168.0.0 la passerelle par default doit etre 192.168.0.1
et pour celui du réseau 192.168.1.0 la passerelle par default doit etre 192.168.1.1

je ne change la passerelle que des postes clients, pas des serveurs (qui ont accès directement au firewall) et je leur mets l'@ de la carte qui est dans leur réseau, donc 192.168.0.1.

pb soulevé par le mm post sur soft&rzo (je hais le crossposting)
 avec iptables :  
iptables -L donne :  
modprobe: Can't locate module ip_tables
Perhaps iptables or your kernel needs to be upgraded.
 
pourtant apt-get upgrade ou install ne trouve rien à mettre à jour... ça peut venir de là ? et comment résoudre ça svp ?
 
Merci

Donc sur le firewall tu dois ajouter une route pour atteindre l autre séseau sinon ton packet ne pourra jamais revenir
sur le firewall tu mets une route pour ateindre le reseau client 192.168.1.0 en passant par l'adresse 192.168.0.1
 
et la ca marchera
c'est juste un probleme de routage de réseau logique que tu as
 

snooper tu peux travailler stp....

Non non cé bon ... le 0 ou le 255 cé dans le dernier octet pour le broadcast pour les adresses privés de classse C ... i.e, les adresses du style 192.168.x.0 (là cé plutot un réseau  qu'on désigne ...) ou 192.168.x.255 sont des adresses de broadcast

y'a pas de probleme la dessus

mais le firewall voit pas les @ en 192.168.0.x normalement... je récapépète ma config :  
 
routeur
   |
firewall
   |
Réseau de serveurs    (192.168.1.x)
          |
     Serveur proxy qui chie dans la colle
            |  
        postes clients  (192.168.0.x)

essaie tout simplement ca:
 
echo 1 > /proc/sys/net/ipv4/ip_forward
 
ca dcevrait deja forwarder mieux

oui je l'ai mis à 1, mais ça change rien.... comment je vérifie ? et au reboot il le remet à 0 cet abruti... (non c pas moi ! )
 
Merci

 
Soit tu ajoutes une routes sur tes serveurs pour atteindre le réseau client
192.168.0.0 mask 255.255.255.0 gw 192.168.1.1
Ou sinon vu que pour tes serveurs leur passerelle par default est le firewall tu ajoutes sur le firewall la route pour atteindre le reseau ckeint
192.168.0.0 mask 255.255.255.0 gw 192.168.1.1
 
mais si tu l'ajoute nul pars une route pour atteindre le réseau 192.168.0.0 ce réseau ne pourra etre atteind !!!!

mmm je vais voir ça.... après manger
 
Merci encore et bon app'    

marche pô
 
pour le problème de mon module iptables, qq'un a une solution pour le faire marcher svp ? le réinstaller, ou qqchose comme ça.... et est-ce que ça pourrait venir de là ? (j'ai des erreurs bizarres quand je fais un networking restart...)
 
Merci

Tu as essayé de mettre les routes sur ton firewall ?
effectivement apres faut mettre les regles adequate et si en plus iptable ne fonctionne pas correctement...

mais je vois pas du tt pkoi j'aurais à toucher à mon firewall... en + mon serveur marchait avant sous Mdk, on m'a demandé de le passer sous debian et boum... donc il n'y a rien à changer aux configs extérieures normalement...
 
pour iptables tu sais pas comment je peux le réinstaller stp ?
 
Mici

Ton firewall esr sur une debian ?

nope c un boîtier pix.... la boîte où je suis n'a mm pas les codes d'accès pour le reprogrammer donc faut faire sans ça
 
avec de l'ip masquerading autrement, je pensais non ?

ah d acc tu as un cisco PIX comme firwall et meme aps tu le pass d access....
bah ca va pas etre facile !!!
Va falloir que tu rajoutes les routes sur tes serveurs !!!

... hum hum ...

avec un peu de chance sur ton PIX ils ont laissé le password par default
soit : cisco

y'a pas de raison de devoir toucher à l'existant je pense....  
excepté sur le serveur proxy hein
 
bon, y'a pas moyen de réparer/désinstaller/réinstaller/faire marcher (rayer la mention inutile) mon module iptables svp ?
 
la commande lsmod me renvoie :  
 
af_packet        6136   0 (unused)  
et c'est tout !
 
help encore une fois, et merci

Protocol TCP basic!

T'as pas le choix la !
 
tu dois rajouter une route sur tes serveurs :
route pour aller reseau 192.168.1.0 mask 255.255.255.0 gateway 192.168.0.1
 
Et vu que ton firewall c'est un pix c'est pas la peine d'essayer de faire du routage sur une meme interface !!!
 

Acid ferme ta...et essaie de monter le VPN Cisco - OpenBSD
 
ca fait rien que 1 mois que t'es dessus !!!

15 jours!!!!!

c'est sur ce forum persnne connait OpenBSD tous des tocarts ici!!
 
Au fait les routes par defauts tu les a mis? question con mais bon...

oui

T'as essayé de rajouter ls routes ?

j'ai 18 serveurs sous Win NT/2000 il est pas question que je modifie toutes leurs routes, d'autant que ça marchait sans ça avant que je passe sous debian voilou

Faut bien comprendre que si les serveurs ne connaissent pas la route pour aller vers les machines derrière le proxy ca ne marchera JAMAIS  
c'est le B.A BA du routage alors je sais pas comment ca marchait avant ....
va sur un de tes serveurs ouvre une fenetre DOS/SHELL et tape  
route print (pour windows)
route (pour systeme Linux)
 
donne nous ce qu'il te donne comme reponse STP

certes les serveurs ne connaissent pas le rzo 192.168.0.x (celui des machines). Mais le serveur linux peut faire du masquerading pour éviter ça non ?

Non je pense aps
Du moins ca ne marchera pas ds tous les cas
Mais il est quand meme bcp plus simple d ajouter une route sur ton serveur Debian !!!!
 
 

Oui tu peux  
mais c'est pas la manière la plus propre  
ce sont des réseau privés  
pourquoi activé le masquerading ? ca limitera le dialogue possible  
tes serveurs ne pourront jamais interrogés tes machines clientes
par exemple
l'inverse sera possible mais c'est tout  
 
tu brides ton réseau en faisant ca ... enfin c'est ton choix

attendez on parle peut être pas de la mm chose là
snooper, tu parles de rajouter quelle ligne sur le serveur debian stp ? moi je comprenais que tu me demandais de changer toutes les tables de routage de tous les autres serveurs (du premier sous-réseau koi)...
 
suis largué là