[module ip_tables] partage de connection

[Leander256]

[Pachacamac]

Si tu n'autorise rien depuis internet tu va quand meme recevoir le retrour des paquets ?

[kernelsensei]

le RELATED,ESTABLISHED permet de recevoir les paquets si TU as fait une REQUETE, c a d que rien ne rentrera si tu ne demande pas ! (normalement)

moi ma regle differe un peu

[Gilbow]

Je vous remercie tous d'avoir resolu un a un mes probleme.

Mon firewall, ne bloque rien, mais permet le plus important , le partage...
je verais renforcer le firewall quand j'aurais un peu de temps et beaucoup de patience...

Voila...
_________________
Il vaut mieux mobiliser son intelligence sur des conneries que de mobiliser sa connerie sur des choses intelligentes (nos amis les Shadoks)

[kwenspc]

bon j'ai envie de faire la même chose là, j'ai un pc qui va servir de passerelle (il a 2 cartes rézo)

eth0 --> adsl
eth1 --> LAN

j'ai compris pour les règles tout ça c'est ok. (c vrai que la doc de lea-linux est bien)

et cependant (je vais passer pour un lame mais c po grave) : vous parler du script mais lequel? iptables.sh qu'est dans /etc/init.d ?

où doit-on inscrire nos règles?

[Pachacamac]

Le script c'est toi qui le fait pour que les règles soient prises en compte au demarrage.

Sur Léa c'est firewall.sh il me semble, mais tu lui donne le nom que tu veux.

[kwenspc]

bah oui mais où je le met???

imagines je le met dans /var/trucmuche/bidule

et hop si je fait rc-update add iptables default

ben ouske tu crois que ce service va chercher mon script?


il va pas deviner...

en plus tu dis qu'on lui donne le nom qu'on veut...euh comment il devine là encore que ton fichier de règles s'appelle tsointsoin.sh ?

donnes moi directement ton exemple : où est ton fichier de règles, comment se nomme-t-il et comment a tu fais pour que le service iptables sachent le trouver? s'il te plaît

(j'ai ma passerelle qu'attend là à côté de moi de pouvoir enfin servir lol)

[guilc]

tu exécutes ton script, ensuite, tu fais "rc-update /etc/init.d/iptables save"
Comme ça tes regles sont sauvegardées.

Pour les commandes de type echo "1" > /proc/sys/net/ipv4/ip_forward , regarde du coté de /etc/sysctl.conf, y a des lignes en modele, tu comprendra vite comment ça marche
_________________
Merci de respecter les règles du forum.

Mon site perso : https://www.xwing.info
Mon PORTDIR_OVERLAY : https://gentoo.xwing.info ou layman -a xwing

[kwenspc]

là ça a l'avantage d'être clair
merci guilc

(bon c vrai aussi que je suis feignant et impatient , j'aurais pu chercehr un peu plus par moi-même...)

[Pachacamac]

J'ai dit que tu pouvai lui donner le nom que tu voulai. Mais nullement que si tu voulai utiliser rc-update il pouvai etre n'importe ou... Quoique si tu fais un lien çà marche.

Pour se servir d'rc-update tu as la doc sur le site de gentoo, çà pe aider

[kwenspc]

Pachacamac : oki, je suis pas réveillé j'ai un peu de mal ce matin. (oué enfin on est déjà après-midi...)

c'est bon là tout devrait fonctionner

thx!

[kwenspc]

ça marche pas...hum hum?

bon j'ai pas mis les lignes concernant l'icmp pour pouvoir pinguer...ça veut pas.

le partage n'est pas lancé puisque a priori la résolution de nom ne fonctionne pas (ni sur mon pc de bureau ni sur la passerelle)

je n'ai pas accès au net alors même que ma connexion adsl est bonne

j'ai essayé les 2 scripts qui était donén en page 1 de ce thread et rien à faire.
(j'ai bien changé ce qu'il fallait selon ma config réseau etho --> internet et eth1 --> lan)

rien à faire, j'ais essayé plusieurs options ça veut pas :/

kk1 voit - il d'où ça pourrait venir?

[kwenspc]

bon je lis la doc je vais tout faire moi-même, depuis le temps que j'avais envie de m'y mettre tiens

je vais y aller pas à pas !

[kwenspc]

Bon j'ai refait un scirpt iptable à partir de ceux existant, je pense avoir bien compris le fionctionnement et là je dois dire que je comprends pas pkoi ça ne marche pas..

ma config :

etho est l'interface relié à mon modem...donc ppp0 passe par eth0 (ip : 192.168.0.1)
eth1 est l'interface relié à mon rézo (ip : 192.168.0.2)

mon pc de bureau a une carte rézo eth0 d'ip 192.168.0.3
avce un gateway de "eth0/192.168.0.2"

voilà mon fichier de config :

[Leander256]

[kwenspc]

euh ptet oui, si je met juste ifconfig eth0 up sans ip sans rien ça devrait suffire.

mais c bizzare puisque sur mon pc de bureau eth0 a une ip à lui, un mask et tout et ppp0 se greffe dessus sans pb...et je peus atteindre mon pc de bureau avec mon portable au travers d'eth0 du pc de bureau...

enfin j'essaierais pkoi pas oui
je vais passer en sous-réseau 192.168.1.0 pour le LAN ça facilitera ptet

[Pachacamac]

Pour le DNS faut que tu ai sur chaque poste au moins un serveur dans /etc/resolv.conf

[kwenspc]

oui c'est réglé ça aussi :/

j'ai bien mes dns sur mes 3 machines serveur/pc/portable

[Pachacamac]

Ben alors c'est bon si tu fais ce que je t'ai dit dans mon dernier post sur la pge 1 le partage doit fonctionner.

[kwenspc]

non justement ça ne marche pas, j'ai bien les dns dans les resolv.conf et tout, j'ai un bon script mais ça ne marche pas.

j'ai pas eu le temps de tester d'autre soluce

je vous tiens au courant (à mon avis ça doit être un problème de sous-rézo comme le pense Leander256)

[Pachacamac]

T'as fait des sous réseaux pour ton réseau perso ?

Bref verifie que tu ai bien le routage dans iptable

[kwenspc]

hum dis moi iptables -X et ipatbles -F ça vide bien entièrement les règles?

et si je fais un iptables-save après il va en fait sauver quelque chose qui ne contiendra pas de règles?

donc si je redémarre le service iptables je ne devrais plus avoir de règles...

or là il me charge toujours la meme table de règles...foireuse en plus.

j'ai faire de nouvelles modif à mon fichier, l'éxecuté, sauvegardé les nouvelels règles et relancés iptables...il me sort toujours mes vieilles errues de script que j'ai fait en début de journée

il existe une option pour forcer le vidage complet?

[Pachacamac]

En theorie lorsque tu redemarre iptables pouf t'a plus rien. Mais tu as l'air d'avoir sauvegardé tes regles donc faire ce que t'as dit me parait etre une bonne idee.

iptables -t nat X et -L non ? pour vider la table nat

[kwenspc]

oué bon super...il doit y avoir une couille dans le paté et ça viens pas des scripts c'est sûr.

j'ai fait ta manip' à la lettre près

ben...le iptables -t net -L est trés bavard il me sort 20 fois la même lignes all anywhere anywhere, y en a d'autres qui s'y melent 192.168.0.0/24 anywhere et ainsi de suite.
ça fait une bonne 30aine de lignes...

et toujours cette merde d'erreur de règles soi-disant :
warning: weird character in interface '-ppp0' (No aliases etc...)

or CETTE erreur a eu lieu sur ma première version du script et a été trés vite corrigée...et il me la notifie encore!

j'ai beau flushé à donf les tables, ré-executer mon script (mainte fois vérifié) et sauvegardé l'etat de la table : rien. ça bouge pas d'un pouce

ah aussi, on est d'accord qu'avec ta règle icmp n'est pas bloqué?

bon ben impossible d'atteindre ma passerelle à partir d'un ping de mon pc de bureau...et mieux que ça : quand je fais un ping SUR ma passerelle d'une de ces ip (eth0 par ex) il me sort ça :

ping 192.168.0.1
ping: sendmsg: Operation not permitted


coool

je dois avoir un truc de merdé je ne sais où mais ces pas ta manip ni ton scirpt ni le mien qui merdent ça c sûr...

[Pachacamac]

Un couille dans le paté t'es sur ? S'il n'y en avait qu'une çà serai déjà bien.

Je te conseille de faire un
rc-update -s pour voir les scripts qui sont au demarrage. Tu dois en avoir plusieurs qui lancent plusieurs règles.

Lorsque tu fais un flush des règles et que tu ne redemarre surtout pas iptables il te sort quoi avec iptables -t nat -L ?