[technique] Partage connexion internet, pb iptables,dnsmasq??

Christophe Lucas clucas at clucas.fr
Mer 7 Sep 08:26:34 CEST 2011 

Le 07/09/2011 08:10, Ivan Mercier a écrit :
> root at OpenWrt:~# ip
> -ash: ip: not found
>
> root at OpenWrt:~# traceroute 91.224.148.1
> traceroute to 91.224.148.1 (91.224.148.1), 30 hops max, 38 byte packets
>   1  192.168.1.123 (192.168.1.123)  0.629 ms  0.543 ms  0.482 ms
>   2      *  *  *
> ...
>
>
> ip a
> 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
>      link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
>      inet 127.0.0.1/8 <http://127.0.0.1/8> scope host lo
>      inet6 ::1/128 scope host
>         valid_lft forever preferred_lft forever
> 2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
> state UP qlen 1000
>      link/ether 00:24:01:30:df:03 brd ff:ff:ff:ff:ff:ff
>      inet 192.168.1.123/24 <http://192.168.1.123/24> brd 192.168.1.255
> scope global eth1
>      inet6 fe80::224:1ff:fe30:df03/64 scope link
>         valid_lft forever preferred_lft forever
> 3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
> state UP qlen 1000
>      link/ether 00:25:22:a6:af:6e brd ff:ff:ff:ff:ff:ff
>      inet 192.168.2.35/24 <http://192.168.2.35/24> brd 192.168.2.255
> scope global eth0
>      inet6 fe80::225:22ff:fea6:af6e/64 scope link
>         valid_lft forever preferred_lft forever
>
> ip r
> default via 192.168.2.1 dev eth0  proto static
> 192.168.1.0/24 <http://192.168.1.0/24> dev eth1  proto kernel  scope
> link  src 192.168.1.123
> 192.168.2.0/24 <http://192.168.2.0/24> dev eth0  proto kernel  scope
> link  src 192.168.2.35  metric 1
>
> Je suis derrière un hotspot sfr wifi qui bloque le ping (et le
> traceroute donc) ...
> j'ai oublié de précisé mais ya pas de proxy non plus...
> je viens de vidé aussi l'iptables de la box...
>
> toujours pareil...
> root at OpenWrt:~# wget http://www.google.fr
> Connecting to www.google.fr <http://www.google.fr> (209.85.148.106:80
> <http://209.85.148.106:80>)
> wget: cannot connect to remote host (209.85.148.106): Connection timed out
>
>

Salut,

Déjà remets ton masquerading sur ton PC.

Questions connes :

1/ Ta box ping ton PC ?
2/ ton PC ping ton routeur ?
3/ Ton routeur ping 209.85.148.106 ?
4/ Ton PC ping 209.85.148.106 ?
5/ Ta box machine ping 209.85.148.106 ?
6/ Que donne un tcpdump sur ta machine lorsque ta box ping 209.85.148.106 ?
7/ Que donne ?cat /proc/net/ip_conntrack
8/ Au lieu du masquerading essaies peut-être du source-nat sur ton PC :
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j SNAT
--to-source 192.168.2.35
9/ Que donnent sur ton PC :
	ip route
	ip rules
	iptables -t nat -L -n -v
	iptables -L -n -v
10/ Euh ... je réfléchis encore...

A+


>
> Le 7 septembre 2011 07:30, Laurent GUERBY <laurent at guerby.net
> <mailto:laurent at guerby.net>> a écrit :
>
>     On Wed, 2011-09-07 at 05:57 +0200, Ivan Mercier wrote:
>      > Bonjour à tous,
>      > j'aimerais avoir un peu de votre aide pour relier ma 9box(sous
>      > OpenWrt) ...
>      >
>      > 9box(br-lan)----------->(eth1)PC (debian 6 wheezy)
>      >
>      > (eth0)---------------------------------->routeur-------------->WWW
>      >
>      > Voila ma config:
>      > PC(relié au web)
>      > firewall desactivé
>      > iptables -F
>      > iptables -t nat -F
>      > ifconfig eth1 192.168.1.123
>      > iptables -t nat -A POSTROUTING -s 192.168.1.0/24
>     <http://192.168.1.0/24> -o eth0 -j MASQUERADE
>      > echo 1> /proc/sys/net/ipv4/ip_forward
>      >
>      > cat /etc/dnsmasq.conf
>      > dhcp-option=3,192.168.1.123
>      > dhcp-range=192.168.1.1,192.168.1.4,24h
>      >
>      > 9BOX:
>      > route add default gw 192.168.1.123
>      > echo "nameserver 192.168.1.123" > /etc/resolv.conf
>      >
>      > Résultat:
>      > DNS ok
>      > le reste est bloqué par ???
>
>     Salut Ivan,
>
>     Au niveau de la 9BOX, que donnent les commandes :
>
>     ip a
>     ip r
>     traceroute 91.224.148.1
>
>     Sur ton PC le resultat de :
>
>     ip a
>     ip r
>
>     En particulier verifier que le subnet
>
>     Peut-etre essayer avec une version plus permissive de nat :
>
>     iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>
>     Ou meme :
>
>     iptables -t nat -A POSTROUTING -j MASQUERADE
>
>     A+
>
>     Laurent
>
>
>
>
>
> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique

Plus d'informations sur la liste de diffusion technique