merci Laurent!<br><br>pour info arno firewall avait mise en place (meme desactiver) une policy drop sur la chaine FORWARD...<br><br><div class="gmail_quote">Le 9 septembre 2011 21:41, Laurent GUERBY <span dir="ltr"><<a href="mailto:laurent@guerby.net">laurent@guerby.net</a>></span> a écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">On Fri, 2011-09-09 at 21:19 +0200, Ivan Mercier wrote:<br>
> alors j'ai cherché un peu...<br>
> en fait mon PC ne route pas les paquets "de retour" à destination de<br>
> la box (ni d'un autre pc d'ailleurs)...<br>
><br>
> il faudrait pas une petite chaine iptables de "back" forward ?<br>
<br>
</div>C'est le nat qui est censé s'occuper du retour avec le connection<br>
tracking, si tu peux pinguer a box depuis le PC<br>
tout devrait marcher.<br>
<font color="#888888"><br>
Laurent<br>
</font><div><div></div><div class="h5"><br>
> Le 8 septembre 2011 07:22, Ivan Mercier <<a href="mailto:ivan.mercier@gmail.com">ivan.mercier@gmail.com</a>> a<br>
> écrit :<br>
> oui oui j'ai essayé..<br>
> carrément tu peux passé,j'habite vers jean jaurès...<br>
> ++<br>
><br>
> Le 8 septembre 2011 01:52, Laurent GUERBY <<a href="mailto:laurent@guerby.net">laurent@guerby.net</a>><br>
> a écrit :<br>
><br>
><br>
> On Wed, 2011-09-07 at 22:36 +0200, Ivan Mercier wrote:<br>
><br>
> > Je pense que les routes sont bonnes puisque le DNS<br>
> passe...<br>
> > J'ai essayé aussi de relier l'interface eth0...<br>
><br>
><br>
> Le resolveur DNS etant 192.168.1.123 ca montre que<br>
> tu arrives au moins au moins au PC donc ca coince a<br>
> partir<br>
> du PC. Ensuite il doit y avoir un truc sur le PC<br>
> qui empeche le NAT, as-tu pu tester le<br>
><br>
> <<<br>
> j'essayerais ça iptables -t nat -A POSTROUTING -j<br>
> MASQUERADE<br>
> mais j'y crois pas trop...<br>
> >><br>
><br>
><br>
> ?<br>
><br>
> Je rentre dimanche de ma visite chez <a href="http://guifi.net" target="_blank">guifi.net</a> en<br>
> Espagne<br>
> je peux eventuellement passer avec une nanostation<br>
> sous le bras :).<br>
><br>
> A+<br>
><br>
> Laurent<br>
><br>
><br>
> ><br>
> ><br>
> ><br>
> ><br>
> ><br>
> ><br>
> > Le 7 septembre 2011 19:18, Alexandre GUY<br>
> <<a href="mailto:alex@euronode.com">alex@euronode.com</a>> a écrit :<br>
> > Hello,<br>
> ><br>
> > Ma contrib à deux balles ... dans ton script<br>
> iptables, je ne<br>
> > vois pas de<br>
> > lignes du type :<br>
> ><br>
> > iptables -A INPUT -m state --state<br>
> established,related -j<br>
> > ACCEPT<br>
> ><br>
> > Par hasard, ça ne serait pas ça qui te<br>
> manque ?<br>
> ><br>
> > À+<br>
> > Alex.<br>
> ><br>
> ><br>
> > > plus moyen de tester la,je suis au boulot<br>
> mais de mémoire<br>
> > > @laurent:<br>
> > > ya pas iproute2<br>
> > > ifconfig renvois un truc comme<br>
> > > openwrt:<a href="http://192.168.1.1/255.255.255.0" target="_blank">192.168.1.1/255.255.255.0</a><br>
> > ><br>
> > > j'essayerais ça iptables -t nat -A<br>
> POSTROUTING -j MASQUERADE<br>
> > > mais j'y crois pas trop...<br>
> > ><br>
> > > @christophe:<br>
> > > 1/ping from box to PC (eth0+eth1) OK<br>
> > ><br>
> > > "mon" routeur est la 9box d'un voisin,ping<br>
> bloqué,pas<br>
> > d'accès...<br>
> > ><br>
> > > 7/ Que donne ?cat /proc/net/ip_conntrack,<br>
> je regarderais...<br>
> > ><br>
> > > 8/oui je testerais le SNAT<br>
> > ><br>
> > > 9/ les routes sont bonnes car 1/<br>
> > > iptables vide à part<br>
> > > iptables -t nat -A POSTROUTING -s<br>
> <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a> -o eth0 -j<br>
> > MASQUERADE<br>
> > ><br>
> > > merci les gars<br>
> > ><br>
> > > Le 7 septembre 2011 08:22, Laurent GUERBY<br>
> > <<a href="mailto:laurent@guerby.net">laurent@guerby.net</a>> a écrit :<br>
> > ><br>
> > >> On Wed, 2011-09-07 at 08:10 +0200, Ivan<br>
> Mercier wrote:<br>
> > >> > root@OpenWrt:~# ip<br>
> > >> > -ash: ip: not found<br>
> > >> ><br>
> > >> > root@OpenWrt:~# traceroute 91.224.148.1<br>
> > >> > traceroute to 91.224.148.1<br>
> (91.224.148.1), 30 hops max,<br>
> > 38 byte<br>
> > >> > packets<br>
> > >> > 1 192.168.1.123 (192.168.1.123)<br>
> 0.629 ms 0.543 ms<br>
> > 0.482 ms<br>
> > >> > 2 * * *<br>
> > >> > ...<br>
> > >> ><br>
> > >> ><br>
> > >> > ip a<br>
> > >> > 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436<br>
> qdisc noqueue<br>
> > state UNKNOWN<br>
> > >> > link/loopback 00:00:00:00:00:00 brd<br>
> 00:00:00:00:00:00<br>
> > >> > inet <a href="http://127.0.0.1/8" target="_blank">127.0.0.1/8</a> scope host lo<br>
> > >> > inet6 ::1/128 scope host<br>
> > >> > valid_lft forever preferred_lft<br>
> forever<br>
> > >> > 2: eth1:<br>
> <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc<br>
> > pfifo_fast<br>
> > >> > state UP qlen 1000<br>
> > >> > link/ether 00:24:01:30:df:03 brd<br>
> ff:ff:ff:ff:ff:ff<br>
> > >> > inet <a href="http://192.168.1.123/24" target="_blank">192.168.1.123/24</a> brd<br>
> 192.168.1.255 scope global<br>
> > eth1<br>
> > >> > inet6 fe80::224:1ff:fe30:df03/64<br>
> scope link<br>
> > >> > valid_lft forever preferred_lft<br>
> forever<br>
> > >> > 3: eth0:<br>
> <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc<br>
> > pfifo_fast<br>
> > >> > state UP qlen 1000<br>
> > >> > link/ether 00:25:22:a6:af:6e brd<br>
> ff:ff:ff:ff:ff:ff<br>
> > >> > inet <a href="http://192.168.2.35/24" target="_blank">192.168.2.35/24</a> brd<br>
> 192.168.2.255 scope global<br>
> > eth0<br>
> > >> > inet6 fe80::225:22ff:fea6:af6e/64<br>
> scope link<br>
> > >> > valid_lft forever preferred_lft<br>
> forever<br>
> > >> ><br>
> > >> > ip r<br>
> > >> > default via 192.168.2.1 dev eth0 proto<br>
> static<br>
> > >> > <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a> dev eth1 proto kernel<br>
> scope link src<br>
> > 192.168.1.123<br>
> > >> > <a href="http://192.168.2.0/24" target="_blank">192.168.2.0/24</a> dev eth0 proto kernel<br>
> scope link src<br>
> > 192.168.2.35<br>
> > >> > metric 1<br>
> > >> ><br>
> > >> > Je suis derrière un hotspot sfr wifi<br>
> qui bloque le ping<br>
> > (et le<br>
> > >> > traceroute donc) ...<br>
> > >><br>
> > >> Tu peux essayer en root l'option -T qui<br>
> utilises TCP :<br>
> > >><br>
> > >> traceroute -T 91.224.148.1<br>
> > >><br>
> > >> Sur la 9BOX s'il n'y a pas iproute2 :<br>
> > >><br>
> > >> ifconfig<br>
> > >> route -n<br>
> > >><br>
> > >> Sur le PC si tu as fait pas mal<br>
> d'iptables le seul moyen<br>
> > >> de vraiment nettoyer les connections<br>
> est :<br>
> > >><br>
> > >> conntrack -F<br>
> > >><br>
> > >> Sinon as-tu essayé ma suggestion de<br>
> variation sur -t nat ?<br>
> > >><br>
> > >> A+<br>
> > >><br>
> > >> Laurent<br>
> > >><br>
> > >> > j'ai oublié de précisé mais ya pas de<br>
> proxy non plus...<br>
> > >> > je viens de vidé aussi l'iptables de la<br>
> box...<br>
> > >> ><br>
> > >> > toujours pareil...<br>
> > >> > root@OpenWrt:~# wget<br>
> <a href="http://www.google.fr" target="_blank">http://www.google.fr</a><br>
> > >> > Connecting to <a href="http://www.google.fr" target="_blank">www.google.fr</a><br>
> (<a href="http://209.85.148.106:80" target="_blank">209.85.148.106:80</a>)<br>
> > >> > wget: cannot connect to remote host<br>
> (209.85.148.106):<br>
> > Connection timed<br>
> > >> > out<br>
> > >> ><br>
> > >> ><br>
> > >> ><br>
> > >> > Le 7 septembre 2011 07:30, Laurent<br>
> GUERBY<br>
> > <<a href="mailto:laurent@guerby.net">laurent@guerby.net</a>> a<br>
> > >> > écrit :<br>
> > >> ><br>
> > >> > On Wed, 2011-09-07 at 05:57<br>
> +0200, Ivan Mercier<br>
> > wrote:<br>
> > >> > > Bonjour à tous,<br>
> > >> > > j'aimerais avoir un peu de<br>
> votre aide pour<br>
> > relier ma<br>
> > >> > 9box(sous<br>
> > >> > > OpenWrt) ...<br>
> > >> > ><br>
> > >> > ><br>
> 9box(br-lan)----------->(eth1)PC (debian 6<br>
> > wheezy)<br>
> > >> > ><br>
> > >> > ><br>
> > >> ><br>
> > >><br>
> ><br>
> (eth0)---------------------------------->routeur-------------->WWW<br>
> > >> > ><br>
> > >> > > Voila ma config:<br>
> > >> > > PC(relié au web)<br>
> > >> > > firewall desactivé<br>
> > >> > > iptables -F<br>
> > >> > > iptables -t nat -F<br>
> > >> > > ifconfig eth1 192.168.1.123<br>
> > >> > > iptables -t nat -A<br>
> POSTROUTING -s<br>
> > <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a> -o eth0 -j<br>
> > >> > MASQUERADE<br>
> > >> > > echo<br>
> 1> /proc/sys/net/ipv4/ip_forward<br>
> > >> > ><br>
> > >> > > cat /etc/dnsmasq.conf<br>
> > >> > > dhcp-option=3,192.168.1.123<br>
> > >> > ><br>
> dhcp-range=192.168.1.1,192.168.1.4,24h<br>
> > >> > ><br>
> > >> > > 9BOX:<br>
> > >> > > route add default gw<br>
> 192.168.1.123<br>
> > >> > > echo "nameserver<br>
> 192.168.1.123"<br>
> > > /etc/resolv.conf<br>
> > >> > ><br>
> > >> > > Résultat:<br>
> > >> > > DNS ok<br>
> > >> > > le reste est bloqué par ???<br>
> > >> ><br>
> > >> ><br>
> > >> > Salut Ivan,<br>
> > >> ><br>
> > >> > Au niveau de la 9BOX, que<br>
> donnent les commandes :<br>
> > >> ><br>
> > >> > ip a<br>
> > >> > ip r<br>
> > >> > traceroute 91.224.148.1<br>
> > >> ><br>
> > >> > Sur ton PC le resultat de :<br>
> > >> ><br>
> > >> > ip a<br>
> > >> > ip r<br>
> > >> ><br>
> > >> > En particulier verifier que le<br>
> subnet<br>
> > >> ><br>
> > >> > Peut-etre essayer avec une<br>
> version plus<br>
> > permissive de nat :<br>
> > >> ><br>
> > >> > iptables -t nat -A POSTROUTING<br>
> -o eth0 -j<br>
> > MASQUERADE<br>
> > >> ><br>
> > >> > Ou meme :<br>
> > >> ><br>
> > >> > iptables -t nat -A POSTROUTING<br>
> -j MASQUERADE<br>
> > >> ><br>
> > >> > A+<br>
> > >> ><br>
> > >> > Laurent<br>
> > >> ><br>
> > >> ><br>
> > >> ><br>
> > >><br>
> > >><br>
> > >><br>
> ><br>
> > ><br>
> _______________________________________________<br>
> > > technique mailing list<br>
> > > <a href="mailto:technique@lists.tetaneutral.net">technique@lists.tetaneutral.net</a><br>
> > ><br>
> <a href="http://lists.tetaneutral.net/listinfo/technique" target="_blank">http://lists.tetaneutral.net/listinfo/technique</a><br>
> > ><br>
> ><br>
> ><br>
> ><br>
> > Alexandre GUY<br>
> > _________________________________<br>
> > Mail : <a href="mailto:alex@euronode.com">alex@euronode.com</a><br>
> > GSM : <a href="tel:%28%2B33%29%20%5B0%5D%206%2020%2097%2063%2097" value="+33620976397">(+33) [0] 6 20 97 63 97</a><br>
> > Tél : <a href="tel:%28%2B33%29%20%5B0%5D%205%2062%2047%2015%2053" value="+33562471553">(+33) [0] 5 62 47 15 53</a><br>
> > _________________________________<br>
> ><br>
> ><br>
> ><br>
> _______________________________________________<br>
> > technique mailing list<br>
> > <a href="mailto:technique@lists.tetaneutral.net">technique@lists.tetaneutral.net</a><br>
> ><br>
> <a href="http://lists.tetaneutral.net/listinfo/technique" target="_blank">http://lists.tetaneutral.net/listinfo/technique</a><br>
> ><br>
> ><br>
> > _______________________________________________<br>
> > technique mailing list<br>
> > <a href="mailto:technique@lists.tetaneutral.net">technique@lists.tetaneutral.net</a><br>
> > <a href="http://lists.tetaneutral.net/listinfo/technique" target="_blank">http://lists.tetaneutral.net/listinfo/technique</a><br>
><br>
><br>
><br>
><br>
><br>
<br>
<br>
</div></div></blockquote></div><br>