[technique] Partage connexion internet, pb iptables,dnsmasq??
Ivan Mercier
ivan.mercier at gmail.com
Lun 12 Sep 09:44:58 CEST 2011
merci Laurent!
pour info arno firewall avait mise en place (meme desactiver) une policy
drop sur la chaine FORWARD...
Le 9 septembre 2011 21:41, Laurent GUERBY <laurent at guerby.net> a écrit :
> On Fri, 2011-09-09 at 21:19 +0200, Ivan Mercier wrote:
> > alors j'ai cherché un peu...
> > en fait mon PC ne route pas les paquets "de retour" à destination de
> > la box (ni d'un autre pc d'ailleurs)...
> >
> > il faudrait pas une petite chaine iptables de "back" forward ?
>
> C'est le nat qui est censé s'occuper du retour avec le connection
> tracking, si tu peux pinguer a box depuis le PC
> tout devrait marcher.
>
> Laurent
>
> > Le 8 septembre 2011 07:22, Ivan Mercier <ivan.mercier at gmail.com> a
> > écrit :
> > oui oui j'ai essayé..
> > carrément tu peux passé,j'habite vers jean jaurès...
> > ++
> >
> > Le 8 septembre 2011 01:52, Laurent GUERBY <laurent at guerby.net>
> > a écrit :
> >
> >
> > On Wed, 2011-09-07 at 22:36 +0200, Ivan Mercier wrote:
> >
> > > Je pense que les routes sont bonnes puisque le DNS
> > passe...
> > > J'ai essayé aussi de relier l'interface eth0...
> >
> >
> > Le resolveur DNS etant 192.168.1.123 ca montre que
> > tu arrives au moins au moins au PC donc ca coince a
> > partir
> > du PC. Ensuite il doit y avoir un truc sur le PC
> > qui empeche le NAT, as-tu pu tester le
> >
> > <<
> > j'essayerais ça iptables -t nat -A POSTROUTING -j
> > MASQUERADE
> > mais j'y crois pas trop...
> > >>
> >
> >
> > ?
> >
> > Je rentre dimanche de ma visite chez guifi.net en
> > Espagne
> > je peux eventuellement passer avec une nanostation
> > sous le bras :).
> >
> > A+
> >
> > Laurent
> >
> >
> > >
> > >
> > >
> > >
> > >
> > >
> > > Le 7 septembre 2011 19:18, Alexandre GUY
> > <alex at euronode.com> a écrit :
> > > Hello,
> > >
> > > Ma contrib à deux balles ... dans ton script
> > iptables, je ne
> > > vois pas de
> > > lignes du type :
> > >
> > > iptables -A INPUT -m state --state
> > established,related -j
> > > ACCEPT
> > >
> > > Par hasard, ça ne serait pas ça qui te
> > manque ?
> > >
> > > À+
> > > Alex.
> > >
> > >
> > > > plus moyen de tester la,je suis au boulot
> > mais de mémoire
> > > > @laurent:
> > > > ya pas iproute2
> > > > ifconfig renvois un truc comme
> > > > openwrt:192.168.1.1/255.255.255.0
> > > >
> > > > j'essayerais ça iptables -t nat -A
> > POSTROUTING -j MASQUERADE
> > > > mais j'y crois pas trop...
> > > >
> > > > @christophe:
> > > > 1/ping from box to PC (eth0+eth1) OK
> > > >
> > > > "mon" routeur est la 9box d'un voisin,ping
> > bloqué,pas
> > > d'accès...
> > > >
> > > > 7/ Que donne ?cat /proc/net/ip_conntrack,
> > je regarderais...
> > > >
> > > > 8/oui je testerais le SNAT
> > > >
> > > > 9/ les routes sont bonnes car 1/
> > > > iptables vide à part
> > > > iptables -t nat -A POSTROUTING -s
> > 192.168.1.0/24 -o eth0 -j
> > > MASQUERADE
> > > >
> > > > merci les gars
> > > >
> > > > Le 7 septembre 2011 08:22, Laurent GUERBY
> > > <laurent at guerby.net> a écrit :
> > > >
> > > >> On Wed, 2011-09-07 at 08:10 +0200, Ivan
> > Mercier wrote:
> > > >> > root at OpenWrt:~# ip
> > > >> > -ash: ip: not found
> > > >> >
> > > >> > root at OpenWrt:~# traceroute 91.224.148.1
> > > >> > traceroute to 91.224.148.1
> > (91.224.148.1), 30 hops max,
> > > 38 byte
> > > >> > packets
> > > >> > 1 192.168.1.123 (192.168.1.123)
> > 0.629 ms 0.543 ms
> > > 0.482 ms
> > > >> > 2 * * *
> > > >> > ...
> > > >> >
> > > >> >
> > > >> > ip a
> > > >> > 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436
> > qdisc noqueue
> > > state UNKNOWN
> > > >> > link/loopback 00:00:00:00:00:00 brd
> > 00:00:00:00:00:00
> > > >> > inet 127.0.0.1/8 scope host lo
> > > >> > inet6 ::1/128 scope host
> > > >> > valid_lft forever preferred_lft
> > forever
> > > >> > 2: eth1:
> > <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
> > > pfifo_fast
> > > >> > state UP qlen 1000
> > > >> > link/ether 00:24:01:30:df:03 brd
> > ff:ff:ff:ff:ff:ff
> > > >> > inet 192.168.1.123/24 brd
> > 192.168.1.255 scope global
> > > eth1
> > > >> > inet6 fe80::224:1ff:fe30:df03/64
> > scope link
> > > >> > valid_lft forever preferred_lft
> > forever
> > > >> > 3: eth0:
> > <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
> > > pfifo_fast
> > > >> > state UP qlen 1000
> > > >> > link/ether 00:25:22:a6:af:6e brd
> > ff:ff:ff:ff:ff:ff
> > > >> > inet 192.168.2.35/24 brd
> > 192.168.2.255 scope global
> > > eth0
> > > >> > inet6 fe80::225:22ff:fea6:af6e/64
> > scope link
> > > >> > valid_lft forever preferred_lft
> > forever
> > > >> >
> > > >> > ip r
> > > >> > default via 192.168.2.1 dev eth0 proto
> > static
> > > >> > 192.168.1.0/24 dev eth1 proto kernel
> > scope link src
> > > 192.168.1.123
> > > >> > 192.168.2.0/24 dev eth0 proto kernel
> > scope link src
> > > 192.168.2.35
> > > >> > metric 1
> > > >> >
> > > >> > Je suis derrière un hotspot sfr wifi
> > qui bloque le ping
> > > (et le
> > > >> > traceroute donc) ...
> > > >>
> > > >> Tu peux essayer en root l'option -T qui
> > utilises TCP :
> > > >>
> > > >> traceroute -T 91.224.148.1
> > > >>
> > > >> Sur la 9BOX s'il n'y a pas iproute2 :
> > > >>
> > > >> ifconfig
> > > >> route -n
> > > >>
> > > >> Sur le PC si tu as fait pas mal
> > d'iptables le seul moyen
> > > >> de vraiment nettoyer les connections
> > est :
> > > >>
> > > >> conntrack -F
> > > >>
> > > >> Sinon as-tu essayé ma suggestion de
> > variation sur -t nat ?
> > > >>
> > > >> A+
> > > >>
> > > >> Laurent
> > > >>
> > > >> > j'ai oublié de précisé mais ya pas de
> > proxy non plus...
> > > >> > je viens de vidé aussi l'iptables de la
> > box...
> > > >> >
> > > >> > toujours pareil...
> > > >> > root at OpenWrt:~# wget
> > http://www.google.fr
> > > >> > Connecting to www.google.fr
> > (209.85.148.106:80)
> > > >> > wget: cannot connect to remote host
> > (209.85.148.106):
> > > Connection timed
> > > >> > out
> > > >> >
> > > >> >
> > > >> >
> > > >> > Le 7 septembre 2011 07:30, Laurent
> > GUERBY
> > > <laurent at guerby.net> a
> > > >> > écrit :
> > > >> >
> > > >> > On Wed, 2011-09-07 at 05:57
> > +0200, Ivan Mercier
> > > wrote:
> > > >> > > Bonjour à tous,
> > > >> > > j'aimerais avoir un peu de
> > votre aide pour
> > > relier ma
> > > >> > 9box(sous
> > > >> > > OpenWrt) ...
> > > >> > >
> > > >> > >
> > 9box(br-lan)----------->(eth1)PC (debian 6
> > > wheezy)
> > > >> > >
> > > >> > >
> > > >> >
> > > >>
> > >
> >
> (eth0)---------------------------------->routeur-------------->WWW
> > > >> > >
> > > >> > > Voila ma config:
> > > >> > > PC(relié au web)
> > > >> > > firewall desactivé
> > > >> > > iptables -F
> > > >> > > iptables -t nat -F
> > > >> > > ifconfig eth1 192.168.1.123
> > > >> > > iptables -t nat -A
> > POSTROUTING -s
> > > 192.168.1.0/24 -o eth0 -j
> > > >> > MASQUERADE
> > > >> > > echo
> > 1> /proc/sys/net/ipv4/ip_forward
> > > >> > >
> > > >> > > cat /etc/dnsmasq.conf
> > > >> > > dhcp-option=3,192.168.1.123
> > > >> > >
> > dhcp-range=192.168.1.1,192.168.1.4,24h
> > > >> > >
> > > >> > > 9BOX:
> > > >> > > route add default gw
> > 192.168.1.123
> > > >> > > echo "nameserver
> > 192.168.1.123"
> > > > /etc/resolv.conf
> > > >> > >
> > > >> > > Résultat:
> > > >> > > DNS ok
> > > >> > > le reste est bloqué par ???
> > > >> >
> > > >> >
> > > >> > Salut Ivan,
> > > >> >
> > > >> > Au niveau de la 9BOX, que
> > donnent les commandes :
> > > >> >
> > > >> > ip a
> > > >> > ip r
> > > >> > traceroute 91.224.148.1
> > > >> >
> > > >> > Sur ton PC le resultat de :
> > > >> >
> > > >> > ip a
> > > >> > ip r
> > > >> >
> > > >> > En particulier verifier que le
> > subnet
> > > >> >
> > > >> > Peut-etre essayer avec une
> > version plus
> > > permissive de nat :
> > > >> >
> > > >> > iptables -t nat -A POSTROUTING
> > -o eth0 -j
> > > MASQUERADE
> > > >> >
> > > >> > Ou meme :
> > > >> >
> > > >> > iptables -t nat -A POSTROUTING
> > -j MASQUERADE
> > > >> >
> > > >> > A+
> > > >> >
> > > >> > Laurent
> > > >> >
> > > >> >
> > > >> >
> > > >>
> > > >>
> > > >>
> > >
> > > >
> > _______________________________________________
> > > > technique mailing list
> > > > technique at lists.tetaneutral.net
> > > >
> > http://lists.tetaneutral.net/listinfo/technique
> > > >
> > >
> > >
> > >
> > > Alexandre GUY
> > > _________________________________
> > > Mail : alex at euronode.com
> > > GSM : (+33) [0] 6 20 97 63 97
> > > Tél : (+33) [0] 5 62 47 15 53
> > > _________________________________
> > >
> > >
> > >
> > _______________________________________________
> > > technique mailing list
> > > technique at lists.tetaneutral.net
> > >
> > http://lists.tetaneutral.net/listinfo/technique
> > >
> > >
> > > _______________________________________________
> > > technique mailing list
> > > technique at lists.tetaneutral.net
> > > http://lists.tetaneutral.net/listinfo/technique
> >
> >
> >
> >
> >
>
>
>
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.tetaneutral.net/pipermail/technique/attachments/20110912/a2345917/attachment.htm>
Plus d'informations sur la liste de diffusion technique