[technique] Partage connexion internet, pb iptables,dnsmasq??

Ivan Mercier ivan.mercier at gmail.com
Mer 7 Sep 22:36:40 CEST 2011


PC:
iptables -A INPUT -m state --state established,related -j ACCEPT   NON
SNAT NON plus

ip route
default via 192.168.2.1 dev eth0  proto static
192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.123
192.168.2.0/24 dev eth0  proto kernel  scope link  src 192.168.2.35  metric
1

ip rule
0:    from all lookup local
32766:    from all lookup main
32767:    from all lookup default



iptables -L -v -n -t nat
...
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source
destination
    0     0 MASQUERADE  all  --  *      eth0    192.168.1.0/24
0.0.0.0/0


iptables -L -v -n
vide

Box:
la version de traceroute de la box est trop vielle pour l'option TCP...

root at OpenWrt:~# ifconfig
br-lan    Link encap:Ethernet  HWaddr 00:17:33:E9:D8:ZZ
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:753 errors:0 dropped:0 overruns:0 frame:0
          TX packets:572 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:59106 (57.7 KiB)  TX bytes:64143 (62.6 KiB)

eth0      Link encap:Ethernet  HWaddr 00:17:33:E9:D8:YY
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)
          Interrupt:16

eth1      Link encap:Ethernet  HWaddr 00:17:33:E9:D8:XX
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:753 errors:0 dropped:0 overruns:0 frame:0
          TX packets:572 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:69648 (68.0 KiB)  TX bytes:64143 (62.6 KiB)
          Interrupt:14

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

root at OpenWrt:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use
Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0
br-lan
0.0.0.0         192.168.1.123   0.0.0.0         UG    0      0        0
br-lan

Je pense que les routes sont bonnes puisque le DNS passe...
J'ai essayé aussi de relier l'interface eth0...







Le 7 septembre 2011 19:18, Alexandre GUY <alex at euronode.com> a écrit :

> Hello,
>
> Ma contrib à deux balles ... dans ton script iptables, je ne vois pas de
> lignes du type :
>
> iptables -A INPUT -m state --state established,related -j ACCEPT
>
> Par hasard, ça ne serait pas ça qui te manque ?
>
> À+
> Alex.
>
> > plus moyen de tester la,je suis au boulot mais de mémoire
> > @laurent:
> > ya pas iproute2
> > ifconfig renvois un truc comme
> > openwrt:192.168.1.1/255.255.255.0
> >
> > j'essayerais ça iptables -t nat -A POSTROUTING -j MASQUERADE
> > mais j'y crois pas trop...
> >
> > @christophe:
> > 1/ping from box to PC (eth0+eth1) OK
> >
> > "mon" routeur est la 9box d'un voisin,ping bloqué,pas d'accès...
> >
> > 7/ Que donne ?cat /proc/net/ip_conntrack, je regarderais...
> >
> > 8/oui je testerais le SNAT
> >
> > 9/ les routes sont bonnes car 1/
> > iptables vide à part
> > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
> >
> > merci les gars
> >
> > Le 7 septembre 2011 08:22, Laurent GUERBY <laurent at guerby.net> a écrit :
> >
> >> On Wed, 2011-09-07 at 08:10 +0200, Ivan Mercier wrote:
> >> > root at OpenWrt:~# ip
> >> > -ash: ip: not found
> >> >
> >> > root at OpenWrt:~# traceroute 91.224.148.1
> >> > traceroute to 91.224.148.1 (91.224.148.1), 30 hops max, 38 byte
> >> > packets
> >> >  1  192.168.1.123 (192.168.1.123)  0.629 ms  0.543 ms  0.482 ms
> >> >  2      *  *  *
> >> > ...
> >> >
> >> >
> >> > ip a
> >> > 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
> >> >     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
> >> >     inet 127.0.0.1/8 scope host lo
> >> >     inet6 ::1/128 scope host
> >> >        valid_lft forever preferred_lft forever
> >> > 2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
> >> > state UP qlen 1000
> >> >     link/ether 00:24:01:30:df:03 brd ff:ff:ff:ff:ff:ff
> >> >     inet 192.168.1.123/24 brd 192.168.1.255 scope global eth1
> >> >     inet6 fe80::224:1ff:fe30:df03/64 scope link
> >> >        valid_lft forever preferred_lft forever
> >> > 3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast
> >> > state UP qlen 1000
> >> >     link/ether 00:25:22:a6:af:6e brd ff:ff:ff:ff:ff:ff
> >> >     inet 192.168.2.35/24 brd 192.168.2.255 scope global eth0
> >> >     inet6 fe80::225:22ff:fea6:af6e/64 scope link
> >> >        valid_lft forever preferred_lft forever
> >> >
> >> > ip r
> >> > default via 192.168.2.1 dev eth0  proto static
> >> > 192.168.1.0/24 dev eth1  proto kernel  scope link  src 192.168.1.123
> >> > 192.168.2.0/24 dev eth0  proto kernel  scope link  src 192.168.2.35
> >> > metric 1
> >> >
> >> > Je suis derrière un hotspot sfr wifi qui bloque le ping (et le
> >> > traceroute donc) ...
> >>
> >> Tu peux essayer en root l'option -T qui utilises TCP :
> >>
> >> traceroute -T 91.224.148.1
> >>
> >> Sur la 9BOX s'il n'y a pas iproute2 :
> >>
> >> ifconfig
> >> route -n
> >>
> >> Sur le PC si tu as fait pas mal d'iptables le seul moyen
> >> de vraiment nettoyer les connections est :
> >>
> >> conntrack -F
> >>
> >> Sinon as-tu essayé ma suggestion de variation sur -t nat ?
> >>
> >> A+
> >>
> >> Laurent
> >>
> >> > j'ai oublié de précisé mais ya pas de proxy non plus...
> >> > je viens de vidé aussi l'iptables de la box...
> >> >
> >> > toujours pareil...
> >> > root at OpenWrt:~# wget http://www.google.fr
> >> > Connecting to www.google.fr (209.85.148.106:80)
> >> > wget: cannot connect to remote host (209.85.148.106): Connection timed
> >> > out
> >> >
> >> >
> >> >
> >> > Le 7 septembre 2011 07:30, Laurent GUERBY <laurent at guerby.net> a
> >> > écrit :
> >> >
> >> >         On Wed, 2011-09-07 at 05:57 +0200, Ivan Mercier wrote:
> >> >         > Bonjour à tous,
> >> >         > j'aimerais avoir un peu de votre aide pour relier ma
> >> >         9box(sous
> >> >         > OpenWrt) ...
> >> >         >
> >> >         > 9box(br-lan)----------->(eth1)PC (debian 6 wheezy)
> >> >         >
> >> >         >
> >> >
> >> (eth0)---------------------------------->routeur-------------->WWW
> >> >         >
> >> >         > Voila ma config:
> >> >         > PC(relié au web)
> >> >         > firewall desactivé
> >> >         > iptables -F
> >> >         > iptables -t nat -F
> >> >         > ifconfig eth1 192.168.1.123
> >> >         > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j
> >> >         MASQUERADE
> >> >         > echo 1> /proc/sys/net/ipv4/ip_forward
> >> >         >
> >> >         > cat /etc/dnsmasq.conf
> >> >         > dhcp-option=3,192.168.1.123
> >> >         > dhcp-range=192.168.1.1,192.168.1.4,24h
> >> >         >
> >> >         > 9BOX:
> >> >         > route add default gw 192.168.1.123
> >> >         > echo "nameserver 192.168.1.123" > /etc/resolv.conf
> >> >         >
> >> >         > Résultat:
> >> >         > DNS ok
> >> >         > le reste est bloqué par ???
> >> >
> >> >
> >> >         Salut Ivan,
> >> >
> >> >         Au niveau de la 9BOX, que donnent les commandes :
> >> >
> >> >         ip a
> >> >         ip r
> >> >         traceroute 91.224.148.1
> >> >
> >> >         Sur ton PC le resultat de :
> >> >
> >> >         ip a
> >> >         ip r
> >> >
> >> >         En particulier verifier que le subnet
> >> >
> >> >         Peut-etre essayer avec une version plus permissive de nat :
> >> >
> >> >         iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
> >> >
> >> >         Ou meme :
> >> >
> >> >         iptables -t nat -A POSTROUTING -j MASQUERADE
> >> >
> >> >         A+
> >> >
> >> >         Laurent
> >> >
> >> >
> >> >
> >>
> >>
> >>
> > _______________________________________________
> > technique mailing list
> > technique at lists.tetaneutral.net
> > http://lists.tetaneutral.net/listinfo/technique
> >
>
>
> Alexandre GUY
> _________________________________
> Mail : alex at euronode.com
> GSM : (+33) [0] 6 20 97 63 97
> Tél : (+33) [0] 5 62 47 15 53
> _________________________________
>
> _______________________________________________
> technique mailing list
> technique at lists.tetaneutral.net
> http://lists.tetaneutral.net/listinfo/technique
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20110907/9ab72820/attachment.htm>


Plus d'informations sur la liste de diffusion technique