problème avec mon routeur et iptables

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 3 4 Page Suivante Page Précédente Bas de page
Auteur	Sujet : problème avec mon routeur et iptables

raptor13

Reprise du message précédent :
je peut le changer comme ça ?

Publicité

Klaimant

raptor13 a écrit :

je peut le changer comme ça ?

Non et le tiens est bon t'inquiète

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Zzozo

Modérateur
Un peu, passionément, à la fol

et un ifconfig eth0 ca donne quoi ?

raptor13

Zzozo a écrit :

et un ifconfig eth0 ca donne quoi ?

ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:60:97:0F:B1:F7
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:9254 errors:0 dropped:0 overruns:0 frame:0
TX packets:7233 errors:0 dropped:0 overruns:0 carrier:0
collisions:2 txqueuelen:100
RX bytes:1779457 (1.6 MiB) TX bytes:2418880 (2.3 MiB)
Interrupt:10 Base address:0x220

raptor13

bon ben je croit que mon projet de routeur vas tomber a l'eau ..... :cry:

Klaimant

raptor13 a écrit :

bon ben je croit que mon projet de routeur vas tomber a l'eau ..... :cry:

Ben c quand meme bizzare, des gens ont des plut petites configs que toi pour les routeurs et ca marche bien ...

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

raptor13

je suis sur a 99% que ça n'est pas un probleme de puissance car mje suis ramement a - de 50% idle et mon processeur est froid par rapport a une compilation de noyau

raptor13

je suis sur a 99% que ça n'est pas un probleme de puissance car mje suis ramement a - de 50% idle et mon processeur est froid par rapport a une compilation de noyau

raptor13

je suis sur a 99% que ça n'est pas un probleme de puissance car mje suis ramement a - de 50% idle et mon processeur est froid par rapport a une compilation de noyau

Klaimant

raptor13 a écrit :

je suis sur a 99% que ça n'est pas un probleme de puissance car mje suis ramement a - de 50% idle et mon processeur est froid par rapport a une compilation de noyau

ton noyeau c un koi ?

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

Publicité

Zzozo

Modérateur
Un peu, passionément, à la fol

Tu dis que qd tu surfes directement depuis la passerelle, tout est nickel ... aucun problème ?

raptor13

oui quand je surfe/telecharge depuis la passerelle (mode console ) tout est nikel

mon noyau est un 2.4.20

Klaimant

raptor13 a écrit :

oui quand je surfe/telecharge depuis la passerelle (mode console ) tout est nikel

mon noyau est un 2.4.20

ben c vraiment bizzzzzzzzzzzzzzzzzzzzzare !!!

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

e_esprit

raptor13 a écrit :

oui quand je surfe/telecharge depuis la passerelle (mode console ) tout est nikel

mon noyau est un 2.4.20

Alors la c'est carrement strange...
T'as tcpdumper toutes tes interfaces ? Exemple :
-tu tcpdump ppp0 pour voir ce qui sort/entre
-tu tcpdump en meme temps (dans une autre console) eth0 pour voir ce qui entre/sort...

Sinon, ton reseau fonctionne bien ?

raptor13

j'ai testé mon réseau grace a mon serveur samba et je dois tourner a peut près à 500 ko/s (c'est du 10Mb)

Message édité par raptor13 le 27-02-2003 à 22:05:19

e_esprit

Essayes mon script firewall (adaptes les IPs a ton reseau, sachant que chez moi la passerelle est 192.168.1.2, la machine sur le reseau est 192.168.1.1 (oui je sais c pas tres logique, c'est tout moi ca )):

Code :

# - P f i r e w a l l -
#
# 0.2
#
# Distribuez ! GPL !
#
#
# Ce script configure linux 2.4 en un firewall
# sécuritaire.
#
# La politique de base est d'authoriser tout
# en sortie.
#
# Interdire tout en entrée sauf :
# - réponses DNS
# - réponses HTTP
# - requêtes HTTP (pour le serveur Web)
#
# D'autre part, il joue le rôle de passerelle
# entre le réseau local et internet (ip forwarding).
#
#
# Ce script nécessite le support iptables (K2.4)
#
# Copyleft Alexis Sukrieh 2002
################################################
CERBERE=192.168.1.2
# l'adresse du réseau à protéger
NETWORK=192.168.1.0/24
# l'ip de la machine qui fait le firewall
FIREWALL=$CERBERE
# l'ip du serveur Web
WEB="" # mettre "" si aucun serveur web
PORT=80 # le port du serveur web
# les interfaces réseaux
INTERNE="eth0" # : interface vers le réseau à protéger
EXTERNE="ppp0" # : interface vers internet
# acces au binaire iptables
IPTABLES=/sbin/iptables
mode=$1
case "$mode" in
'start')
echo -n "Cerbere firewall : "
# on efface toutes les régles existantes
for table in filter nat mangle; do
$IPTABLES -t $table -F
$IPTABLES -t $table -X
done
# avant tout, on accepte tout ce qui vient du réseau interne
$IPTABLES -t filter -A INPUT -s $NETWORK -j ACCEPT
# on accepte toute les reponses associées au trafic sortant
$IPTABLES -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# on accepte les recherches DNS à partir des serveurs de nom connus (/etc/resolv.conf)
for DNS in $(grep ^n /etc/resolv.conf | awk '{print $2}'); do
$IPTABLES -t filter -A INPUT -s $DNS -j ACCEPT
done
# on accepte les demandes de connexion ssh
# $IPTABLES -t filter -A INPUT -p tcp --destination-port ssh -j ACCEPT
# si un serveur web est défini, on s'occupe de lui :)
if [ -n "$WEB" ]
then
# on accepte les requêtes HTTP entrantes
$IPTABLES -t filter -A INPUT -p tcp --source-port www -j ACCEPT
$IPTABLES -t filter -A INPUT -p tcp --destination-port www -j ACCEPT
$IPTABLES -t filter -A INPUT -p tcp --destination-port 1979 -j ACCEPT
if [ $FIREWALL != $WEB ]
then
# on pense a activer le port forwarding du firewall vers notre serveur web
$IPTABLES -t nat -A PREROUTING -p tcp -d $FIREWALL --dport http -j DNAT --to $WEB:$PORT
fi
fi
# on refuse et on entre dans le journal tout ce qui est entrant et qui n'est pas sur loopback
$IPTABLES -N logdeny
$IPTABLES -t filter -A logdeny -j LOG
$IPTABLES -t filter -A logdeny -j DROP
$IPTABLES -t filter -A INPUT -i ! lo -m state --state NEW,INVALID -j logdeny
# on active la conversion d'adresse réseau (IP forwarding)
if [ -n "$INTERNE" ]
then
echo 1 > /proc/sys/net/ipv4/ip_forward
# on accepte les paquets entre internet et le réseau interne si :
# - connexion existente
# inititation d'une nouvelle conexion par un membre duréseau interne
$IPTABLES -A FORWARD -i $EXTERNE -o $INTERNE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $INTERNE -o $EXTERNE -j ACCEPT
if [ $EXTERNE = ppp0 ]
then
# on convertit toute adresse IP sortante en l'IP externe du firewall (dynamique ici)
$IPTABLES -t nat -A POSTROUTING -s $NETWORK -o $EXTERNE -j MASQUERADE
else
# on convertit toute adresse IP sortante en l'IP externe du firewall (fixe ici)
$IPTABLES -t nat -A POSTROUTING -o $EXTERNE -j SNAT --to $FIREWALL
fi
fi
echo "[ OK ]"
;;
'stop')
echo 0 > /proc/sys/net/ipv4/ip_forward
# on efface toutes les régles existantes
for table in filter nat mangle; do
$IPTABLES -t $table -F
$IPTABLES -t $table -X
done
;;
'restart')
/etc/init.d/firewall stop
/etc/init.d/firewall start
;;
*)
echo "usage $0 start|stop|restart"
;;
esac

raptor13

ok je vais tester

et avec tcp dump je dois voir quoi au juste ? si mamachine envois/reçois bien ?

e_esprit

raptor13 a écrit :

ok je vais tester

et avec tcp dump je dois voir quoi au juste ? si mamachine envois/reçois bien ?

Ben si ta machine passe bien les paquets a ton reseau.
client => passerelle => WEB => passerelle => client
(eth0) (ppp0) (ppp0) (eth0)

raptor13

ben a priori les paquets passent (je suis sur un pc du reseau actuellement) mais très dificilement (je suis obligé d'actualiser les pages plusieurs fois avant de pourvoir les afficher)

e_esprit

raptor13 a écrit :

ben a priori les paquets passent (je suis sur un pc du reseau actuellement) mais très dificilement (je suis obligé d'actualiser les pages plusieurs fois avant de pourvoir les afficher)

Ouais mais ils passent pas bien a priori...
POur le tcpdump, tu fais un truc du style sur ta passerelle (dans deux consoles differentes) :
tcpdump -i eth0 host www.google.fr
et
tcpdump -i ppp0 host www.google.fr

Ensuite depuis ton client tu charge www.google.fr dans ton browser.
Une fois que c'est fais, tu ^C les tcpdump, et tu devrais deja voir le meme nombre de paquets. Ensuite tu peux comparer les entrée/sortie qui doivent etre symetrique. voili, voilou

EDIT: Sauf que l'adresse de ta machine du reseau sera remplacee dans l'autre console par l'adresse de ta passerelle, Masquerading oblige

Message édité par e_esprit le 27-02-2003 à 22:29:17

raptor13

ok je vais faire ça pour ton script : je n'arrive pas a le lançer il me met : firewall: line 100: syntax error: unexpected end of file

et j'en ai chier pour passer un fichier texte de windows à linux

e_esprit

raptor13 a écrit :

> dos2unix firewall.txt

raptor13

les tcp dump me donnent des truc bizares

la page web ne s'est pas affichée entierement et le tcpdum sur ppp0 s'est arrété tout seul en donnant :

Citation :

serveur# tcpdump -i ppp0 host www.hardware.Fr
tcpdump: listening on ppp0
00:59:49.527863 81.56.74.151.1539 > 212.43.221.155.www: S 850121667:850121667(0) win 16384 <mss 1460,nop,nop,sackOK> (D
F)
00:59:49.583580 212.43.221.155.www > 81.56.74.151.1539: S 3724762394:3724762394(0) ack 850121668 win 5840 <mss 1420> (D
F)
00:59:49.585599 81.56.74.151.1539 > 212.43.221.155.www: . ack 1 win 17040 (DF)
00:59:49.586164 81.56.74.151.1539 > 212.43.221.155.www: P 1:281(280) ack 1 win 17040 (DF)
00:59:49.704024 212.43.221.155.www > 81.56.74.151.1539: . 1:1421(1420) ack 281 win 6432 (DF)
00:59:49.718850 81.56.74.151.1540 > 212.43.221.155.www: S 850222780:850222780(0) win 16384 <mss 1460,nop,nop,sackOK> (D
F)
00:59:49.734205 212.43.221.155.www > 81.56.74.151.1539: . 1421:2841(1420) ack 281 win 6432 (DF)
00:59:49.738207 81.56.74.151.1539 > 212.43.221.155.www: . ack 2841 win 17040 (DF)
00:59:49.783687 212.43.221.155.www > 81.56.74.151.1540: S 3721842507:3721842507(0) ack 850222781 win 5840 <mss 1420> (D
F)
00:59:49.785476 81.56.74.151.1540 > 212.43.221.155.www: . ack 1 win 17040 (DF)
00:59:49.786089 81.56.74.151.1540 > 212.43.221.155.www: P 1:325(324) ack 1 win 17040 (DF)
00:59:49.824170 212.43.221.155.www > 81.56.74.151.1539: . 2841:4261(1420) ack 281 win 6432 (DF)
00:59:50.008865 81.56.74.151.1539 > 212.43.221.155.www: . ack 4261 win 17040 (DF)
tcpdump: pcap_loop: recvfrom: Network is down

j'ai arété celui sur eth0 manuelement après et j'ai eut ceçi :

Citation :

tcpdump -i eth0 host www.hardware.fr
tcpdump: listening on eth0
00:59:49.526651 192.168.0.2.1539 > s10.tgv.net.www: S 850121667:850121667(0) win 16384 <mss 1460,nop,nop,sackOK> (DF
)
00:59:49.584277 s10.tgv.net.www > 192.168.0.2.1539: S 3724762394:3724762394(0) ack 850121668 win 5840 <mss 1420> (DF
)
00:59:49.584753 192.168.0.2.1539 > s10.tgv.net.www: . ack 1 win 17040 (DF)
00:59:49.585495 192.168.0.2.1539 > s10.tgv.net.www: P 1:281(280) ack 1 win 17040 (DF)
00:59:49.704672 s10.tgv.net.www > 192.168.0.2.1539: . 1:1421(1420) ack 281 win 6432 (DF)
00:59:49.717926 192.168.0.2.1540 > s10.tgv.net.www: S 850222780:850222780(0) win 16384 <mss 1460,nop,nop,sackOK> (DF
)
00:59:49.734877 s10.tgv.net.www > 192.168.0.2.1539: . 1421:2841(1420) ack 281 win 6432 (DF)
00:59:49.737710 192.168.0.2.1539 > s10.tgv.net.www: . ack 2841 win 17040 (DF)
00:59:49.784151 s10.tgv.net.www > 192.168.0.2.1540: S 3721842507:3721842507(0) ack 850222781 win 5840 <mss 1420> (DF
)
00:59:49.784600 192.168.0.2.1540 > s10.tgv.net.www: . ack 1 win 17040 (DF)
00:59:49.785397 192.168.0.2.1540 > s10.tgv.net.www: P 1:325(324) ack 1 win 17040 (DF)
00:59:49.824806 s10.tgv.net.www > 192.168.0.2.1539: . 2841:4261(1420) ack 281 win 6432 (DF)
00:59:50.008272 192.168.0.2.1539 > s10.tgv.net.www: . ack 4261 win 17040 (DF)
00:59:52.712706 192.168.0.2.1540 > s10.tgv.net.www: P 1:325(324) ack 1 win 17040 (DF)
00:59:52.868548 s10.tgv.net.www > 192.168.0.2.1540: P 1:192(191) ack 325 win 6432 (DF)
00:59:52.870248 192.168.0.2.1540 > s10.tgv.net.www: P 325:655(330) ack 192 win 16849 (DF)
00:59:52.948047 s10.tgv.net.www > 192.168.0.2.1540: P 192:382(190) ack 655 win 7504 (DF)
00:59:53.112842 192.168.0.2.1540 > s10.tgv.net.www: . ack 382 win 16659 (DF)
00:59:53.194143 192.168.0.2.1540 > s10.tgv.net.www: P 655:988(333) ack 382 win 16659 (DF)
00:59:53.278096 s10.tgv.net.www > 192.168.0.2.1540: P 382:573(191) ack 988 win 8576 (DF)
00:59:53.280660 192.168.0.2.1540 > s10.tgv.net.www: P 988:1345(357) ack 573 win 16468 (DF)
00:59:53.368176 s10.tgv.net.www > 192.168.0.2.1540: P 573:765(192) ack 1345 win 9648 (DF)
00:59:53.370061 192.168.0.2.1540 > s10.tgv.net.www: P 1345:1678(333) ack 765 win 16276 (DF)
00:59:53.448068 s10.tgv.net.www > 192.168.0.2.1540: P 765:955(190) ack 1678 win 10720 (DF)
00:59:53.450789 192.168.0.2.1540 > s10.tgv.net.www: P 1678:2012(334) ack 955 win 16086 (DF)
00:59:53.538115 s10.tgv.net.www > 192.168.0.2.1540: P 955:1147(192) ack 2012 win 11792 (DF)
00:59:53.713590 192.168.0.2.1540 > s10.tgv.net.www: . ack 1147 win 15894 (DF)

27 packets received by filter
0 packets dropped by kernel

e_esprit

Alors la je dirais que t'as un souci avec ton modem...

raptor13

ça avancé un peut et en fait je pouvais toujours chercher...

aparament cela serait du a des déconnection a chaque fois que je charge une page web (~20/minutes)

et je ne l'avais pas vu car mon adresse ip ne change pas entre chaque connexion

raptor13

en gros j'ai une adresse ip semi statique elle ne change pas a chaque déco

e_esprit

raptor13 a écrit :

Ouais mais ca n'a rien de tres normal ca...
Tes pilotes sont les dernières versions ? Ils sont correctement configurés ?

raptor13

ben en fait ça viendrais d'une incompatibilitée avec mon noyau au niveau de l'usb :pfff:

pour l'ip c'est bizare je me me déconnecter 5 minutes et me reconnecter j'ai toujours le meme ip mais là je n'ai pas la meme qu'hier :??:

Klaimant

raptor13 a écrit :

c normal, mais pour ton noyau j'ai fait tourner un alcatal et un eci sur un 2.4.18-bf24

Message édité par Klaimant le 28-02-2003 à 10:29:21

---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!

raptor13

bon je me suis rempis a mon routeur et en fait ça doit venir d'une charge cpu trop importante ....

par ex

quand je télécharge un fichier avec links si je en fait rien a coté tout vas bien mais si je fait un cat messages j'obtient 3 déco/reco en 30 secondes

HuGoBioS

tu l'as branché sur quoi ton modem usb ?
sur une carte pci ou directe ur la mobo ? p'tet que le modem tire trop de jus donc paaaf deco , non ?

---------------
-= In Kik00 101 I trust :o =-

raptor13

c'est une carte pci

raptor13

:bounce:

raptor13

raptor13 a écrit :

:bounce:

Publicité

Page : 1 2 3 4

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

problème avec mon routeur et iptables

Sujets relatifs
[nouvel essai] configurer iptables juste pour une passerelle	probleme avec la croi directionnel du MS sidewinder pad (le basique)
Probleme au lancement de Mozilla	problème embêtant avec kde 3
Redhat 8 + le dernier Gnome : Probleme d'accent sur le tableau de bord	question simple sur MARK d'iptables
Problème au démarrage s/ un Powerbook Mac,...j'y connais rien!?!?!?	Radeon 8500 + DRI/DRM + FreeBSD = problème
[Debian] comment faire pour résoudre ce problème d'apt-get	petit probleme avec postfix !
Plus de sujets relatifs à : problème avec mon routeur et iptables

Page générée en 0.130 secondes