[technique] Partage connexion internet, pb iptables,dnsmasq??
Ivan Mercier
ivan.mercier at gmail.com
Ven 9 Sep 21:19:22 CEST 2011
alors j'ai cherché un peu...
en fait mon PC ne route pas les paquets "de retour" à destination de la box
(ni d'un autre pc d'ailleurs)...
il faudrait pas une petite chaine iptables de "back" forward ?
Le 8 septembre 2011 07:22, Ivan Mercier <ivan.mercier at gmail.com> a écrit :
> oui oui j'ai essayé..
> carrément tu peux passé,j'habite vers jean jaurès...
> ++
>
> Le 8 septembre 2011 01:52, Laurent GUERBY <laurent at guerby.net> a écrit :
>
> On Wed, 2011-09-07 at 22:36 +0200, Ivan Mercier wrote:
>>
>> > Je pense que les routes sont bonnes puisque le DNS passe...
>> > J'ai essayé aussi de relier l'interface eth0...
>>
>> Le resolveur DNS etant 192.168.1.123 ca montre que
>> tu arrives au moins au moins au PC donc ca coince a partir
>> du PC. Ensuite il doit y avoir un truc sur le PC
>> qui empeche le NAT, as-tu pu tester le
>>
>> <<
>> j'essayerais ça iptables -t nat -A POSTROUTING -j MASQUERADE
>> mais j'y crois pas trop...
>> >>
>>
>> ?
>>
>> Je rentre dimanche de ma visite chez guifi.net en Espagne
>> je peux eventuellement passer avec une nanostation sous le bras :).
>>
>> A+
>>
>> Laurent
>>
>> >
>> >
>> >
>> >
>> >
>> >
>> > Le 7 septembre 2011 19:18, Alexandre GUY <alex at euronode.com> a écrit :
>> > Hello,
>> >
>> > Ma contrib à deux balles ... dans ton script iptables, je ne
>> > vois pas de
>> > lignes du type :
>> >
>> > iptables -A INPUT -m state --state established,related -j
>> > ACCEPT
>> >
>> > Par hasard, ça ne serait pas ça qui te manque ?
>> >
>> > À+
>> > Alex.
>> >
>> >
>> > > plus moyen de tester la,je suis au boulot mais de mémoire
>> > > @laurent:
>> > > ya pas iproute2
>> > > ifconfig renvois un truc comme
>> > > openwrt:192.168.1.1/255.255.255.0
>> > >
>> > > j'essayerais ça iptables -t nat -A POSTROUTING -j MASQUERADE
>> > > mais j'y crois pas trop...
>> > >
>> > > @christophe:
>> > > 1/ping from box to PC (eth0+eth1) OK
>> > >
>> > > "mon" routeur est la 9box d'un voisin,ping bloqué,pas
>> > d'accès...
>> > >
>> > > 7/ Que donne ?cat /proc/net/ip_conntrack, je regarderais...
>> > >
>> > > 8/oui je testerais le SNAT
>> > >
>> > > 9/ les routes sont bonnes car 1/
>> > > iptables vide à part
>> > > iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j
>> > MASQUERADE
>> > >
>> > > merci les gars
>> > >
>> > > Le 7 septembre 2011 08:22, Laurent GUERBY
>> > <laurent at guerby.net> a écrit :
>> > >
>> > >> On Wed, 2011-09-07 at 08:10 +0200, Ivan Mercier wrote:
>> > >> > root at OpenWrt:~# ip
>> > >> > -ash: ip: not found
>> > >> >
>> > >> > root at OpenWrt:~# traceroute 91.224.148.1
>> > >> > traceroute to 91.224.148.1 (91.224.148.1), 30 hops max,
>> > 38 byte
>> > >> > packets
>> > >> > 1 192.168.1.123 (192.168.1.123) 0.629 ms 0.543 ms
>> > 0.482 ms
>> > >> > 2 * * *
>> > >> > ...
>> > >> >
>> > >> >
>> > >> > ip a
>> > >> > 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue
>> > state UNKNOWN
>> > >> > link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
>> > >> > inet 127.0.0.1/8 scope host lo
>> > >> > inet6 ::1/128 scope host
>> > >> > valid_lft forever preferred_lft forever
>> > >> > 2: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
>> > pfifo_fast
>> > >> > state UP qlen 1000
>> > >> > link/ether 00:24:01:30:df:03 brd ff:ff:ff:ff:ff:ff
>> > >> > inet 192.168.1.123/24 brd 192.168.1.255 scope global
>> > eth1
>> > >> > inet6 fe80::224:1ff:fe30:df03/64 scope link
>> > >> > valid_lft forever preferred_lft forever
>> > >> > 3: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
>> > pfifo_fast
>> > >> > state UP qlen 1000
>> > >> > link/ether 00:25:22:a6:af:6e brd ff:ff:ff:ff:ff:ff
>> > >> > inet 192.168.2.35/24 brd 192.168.2.255 scope global
>> > eth0
>> > >> > inet6 fe80::225:22ff:fea6:af6e/64 scope link
>> > >> > valid_lft forever preferred_lft forever
>> > >> >
>> > >> > ip r
>> > >> > default via 192.168.2.1 dev eth0 proto static
>> > >> > 192.168.1.0/24 dev eth1 proto kernel scope link src
>> > 192.168.1.123
>> > >> > 192.168.2.0/24 dev eth0 proto kernel scope link src
>> > 192.168.2.35
>> > >> > metric 1
>> > >> >
>> > >> > Je suis derrière un hotspot sfr wifi qui bloque le ping
>> > (et le
>> > >> > traceroute donc) ...
>> > >>
>> > >> Tu peux essayer en root l'option -T qui utilises TCP :
>> > >>
>> > >> traceroute -T 91.224.148.1
>> > >>
>> > >> Sur la 9BOX s'il n'y a pas iproute2 :
>> > >>
>> > >> ifconfig
>> > >> route -n
>> > >>
>> > >> Sur le PC si tu as fait pas mal d'iptables le seul moyen
>> > >> de vraiment nettoyer les connections est :
>> > >>
>> > >> conntrack -F
>> > >>
>> > >> Sinon as-tu essayé ma suggestion de variation sur -t nat ?
>> > >>
>> > >> A+
>> > >>
>> > >> Laurent
>> > >>
>> > >> > j'ai oublié de précisé mais ya pas de proxy non plus...
>> > >> > je viens de vidé aussi l'iptables de la box...
>> > >> >
>> > >> > toujours pareil...
>> > >> > root at OpenWrt:~# wget http://www.google.fr
>> > >> > Connecting to www.google.fr (209.85.148.106:80)
>> > >> > wget: cannot connect to remote host (209.85.148.106):
>> > Connection timed
>> > >> > out
>> > >> >
>> > >> >
>> > >> >
>> > >> > Le 7 septembre 2011 07:30, Laurent GUERBY
>> > <laurent at guerby.net> a
>> > >> > écrit :
>> > >> >
>> > >> > On Wed, 2011-09-07 at 05:57 +0200, Ivan Mercier
>> > wrote:
>> > >> > > Bonjour à tous,
>> > >> > > j'aimerais avoir un peu de votre aide pour
>> > relier ma
>> > >> > 9box(sous
>> > >> > > OpenWrt) ...
>> > >> > >
>> > >> > > 9box(br-lan)----------->(eth1)PC (debian 6
>> > wheezy)
>> > >> > >
>> > >> > >
>> > >> >
>> > >>
>> >
>> (eth0)---------------------------------->routeur-------------->WWW
>> > >> > >
>> > >> > > Voila ma config:
>> > >> > > PC(relié au web)
>> > >> > > firewall desactivé
>> > >> > > iptables -F
>> > >> > > iptables -t nat -F
>> > >> > > ifconfig eth1 192.168.1.123
>> > >> > > iptables -t nat -A POSTROUTING -s
>> > 192.168.1.0/24 -o eth0 -j
>> > >> > MASQUERADE
>> > >> > > echo 1> /proc/sys/net/ipv4/ip_forward
>> > >> > >
>> > >> > > cat /etc/dnsmasq.conf
>> > >> > > dhcp-option=3,192.168.1.123
>> > >> > > dhcp-range=192.168.1.1,192.168.1.4,24h
>> > >> > >
>> > >> > > 9BOX:
>> > >> > > route add default gw 192.168.1.123
>> > >> > > echo "nameserver 192.168.1.123"
>> > > /etc/resolv.conf
>> > >> > >
>> > >> > > Résultat:
>> > >> > > DNS ok
>> > >> > > le reste est bloqué par ???
>> > >> >
>> > >> >
>> > >> > Salut Ivan,
>> > >> >
>> > >> > Au niveau de la 9BOX, que donnent les commandes :
>> > >> >
>> > >> > ip a
>> > >> > ip r
>> > >> > traceroute 91.224.148.1
>> > >> >
>> > >> > Sur ton PC le resultat de :
>> > >> >
>> > >> > ip a
>> > >> > ip r
>> > >> >
>> > >> > En particulier verifier que le subnet
>> > >> >
>> > >> > Peut-etre essayer avec une version plus
>> > permissive de nat :
>> > >> >
>> > >> > iptables -t nat -A POSTROUTING -o eth0 -j
>> > MASQUERADE
>> > >> >
>> > >> > Ou meme :
>> > >> >
>> > >> > iptables -t nat -A POSTROUTING -j MASQUERADE
>> > >> >
>> > >> > A+
>> > >> >
>> > >> > Laurent
>> > >> >
>> > >> >
>> > >> >
>> > >>
>> > >>
>> > >>
>> >
>> > > _______________________________________________
>> > > technique mailing list
>> > > technique at lists.tetaneutral.net
>> > > http://lists.tetaneutral.net/listinfo/technique
>> > >
>> >
>> >
>> >
>> > Alexandre GUY
>> > _________________________________
>> > Mail : alex at euronode.com
>> > GSM : (+33) [0] 6 20 97 63 97
>> > Tél : (+33) [0] 5 62 47 15 53
>> > _________________________________
>> >
>> >
>> > _______________________________________________
>> > technique mailing list
>> > technique at lists.tetaneutral.net
>> > http://lists.tetaneutral.net/listinfo/technique
>> >
>> >
>> > _______________________________________________
>> > technique mailing list
>> > technique at lists.tetaneutral.net
>> > http://lists.tetaneutral.net/listinfo/technique
>>
>>
>>
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20110909/e690c62f/attachment.htm>
Plus d'informations sur la liste de diffusion technique