CULTe : Home | Association | Reunions | Projets | Listes de diffusion | Recherche | Best of Linux-31 | Trombinoscope

(Courriels de diversion: <dechristianise@omnium-desinscrire.com> <contredisons@cherirais-acquerrait.com> <emportais@canalisera-boyauter.com> <developperions@vassaliserait-supplie.com> <lezardait@inexplore-exorde.com> <readaptez@regurgiter-comptabiliseront.com> <excuse@dilapidais-nageuses.com> <remontrances@etiolerait-redigeaient.com> <dechaînerons@toxines-basiques.com> <encadrement@mutante-rivaliserai.com> ) 

marc Thirion wrote:
> 
> Le 19 Mai, J-F Bardou écrit :
> > marc Thirion wrote:
> >>   Je pense que le plus probable est que tu n'as pas autorisé le
> >> reroutage sur sl0. Il faut que tu le fasses pour que sl0 reçoive les
> >> paquets venant de l'interface ethernet.
> >

Tu as trouvé, bravo et merci : je n'ai trouvé nulle part (mal cherché
?)la description 
du pb que tu fais ci-dessous ; j'étais parti du HowTo IP-Masquerade ,
elliptique sur la question de l'usage conjoint masquerade/diald ;aussi
je l'envoie dans la liste, à toutes fins utiles.
> 
>   Ce qui serait bien, c'est que tu envoies les règles que tu utilises
> pour la masquarade (et pour le filtre aussi ; n'oublie pas de préciser
> les adresses et les interfaces, .. enfin tout ce qui nécessaire pour
> qu'on sache _enfin_ de quoi on parle).

Ok, cf fichier joint : je n'ai pas encore tout résolu, mais il y a du
mieux :

LAN 192.168.168.0 <-> linux-routeur <-> TA <-> Internet

les machines linux du LAN se connectent
les terminaux vt.. du LAN se connectent

reste à voir les machine W95 du LAN



---------------------------- description de Marc Thirion
----------------
> 
>   Il y a une différence entre faire sortir des paquets générés sur
> la machine même et faire suivre des paquets qui viennent d'ailleurs.
>   Les conséquences pour le réseau et la responsabilité de
> l'administrateur ne sont pas les mêmes. C'est pourquoi, il faut dire
> explicitement au noyau de « faire suivre » les paquets qui viennent
> d'ailleurs : c'est le reroutage (forwarding). Et il se peut très
> bien que quelque chose qui fonctionne pour les paquets IP générés
> en local ne fonctionne pas pour les paquets reçus d'ailleurs.
> 
>   D'après ce que tu décris, tout fonctionne pour les paquets locaux,
> et ta machine fais suivre les paquets destinés à l'interface PPP.
> 
>   La seule chose qui ne fonctionne pas est le « faire suivre » des
> paquets destinés à l'interface slip de diald.
> 
>   Quand tu fais de la masquarade, normalement ton premier réflexe
> est de mettre un filtre qui interdit le « faire suivre » par
> défault (« ipfwadm -F -p deny »), histoire de ne pas faire de ta
> machine une passoire ; puis d'autoriser le « faire suivre »
> uniquement là où il faut (« ipfwadm -F -a accept -m -W ppp0 ... », ou
> quelque chose du genre).
>   Le problème avec cela, est que diald attend les paquets sur sl0. Et
> ils vont être rejetés par la règle par défaut. Donc il faut mettre
> une règle autorisant le « faire suivre » vers sl0 pour que
> diald ait une chance de voir les paquets.
> 
>   Si cela ne fonctionne pas, ou si tu ne vois pas ce que j'explique,
> poste tes règles.
> 
--------------------------   fin description Marc Thirion
----------------

Ok, cf fichier joint : je n'ai pas encore tout résolu, mais il y a du
mieux :

LAN 192.168.168.0 <-> linux-routeur <-> TA <-> Internet

les machines linux du LAN se connectent
les terminaux vt.. du LAN se connectent

reste à voir les machine W95 du LAN, qui malgré la mise en oeuvre des
indications
simples du HowTo précité ne sont pas routées 

-- 
Cordialement,

J-F Bardou
J-F Bardou   21/05/99
--------------------------- PB de mise au point routage par TA/linex1
ifconfig avant diald/masq
===============
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Bcast:127.255.255.255  Mask:255.0.0.0
          UP BROADCAST LOOPBACK RUNNING  MTU:3584  Metric:1
          RX packets:57414 errors:0 dropped:0 overruns:0
          TX packets:57414 errors:0 dropped:0 overruns:0

eth0      Link encap:10Mbps Ethernet  HWaddr 00:10:5A:31:A1:F3
          inet addr:192.168.168.4  Bcast:192.168.168.255  Mask:255.255.255.0
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:1116403 errors:6 dropped:0 overruns:0
          TX packets:127075 errors:0 dropped:0 overruns:0
          Interrupt:12 Base address:0xe800 
	  
	  
Réseau avant diald/masq	  
===============	  

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
255.255.255.255 0.0.0.0         255.255.255.255 UH     1500 0          0 eth0
192.168.168.0   0.0.0.0         255.255.255.0   U      1500 0          0 eth0
255.255.255.0   0.0.0.0         255.255.255.0   U      1500 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U      3584 0 


Variables (/etc/rc.config, SuSE 5.3)
===============

MSQ_START="yes"
MSQ_NETWORKS="192.168.168.0/24"
MSQ_DEV="ppp0"
MSQ_MODULES="ip_masq_cuseeme ip_masq_ftp ip_masq_irc ip_masq_quake ip_masq_raudio ip_masq_vdolive"


Generation des regles Ipfwadm (script /sbin/init.d/masquerade)
===============

#! /bin/sh
# Copyright (c) 1996, 1997, 1998  S.u.S.E. Gmbh Fuerth, Germany.  All rights reserved.
#
# Author: Bodo Bauer <bb@suse.de>#
# /sbin/init.d/masquerade
#

# Einstellungen einlesen
. /etc/rc.config

# Version
VERSION="S.u.S.E. Masquerading v1.4"

# benötigte Tools
IPFWADM="/sbin/ipfwadm"
INSMOD="/sbin/insmod"
RMMOD="/sbin/rmmod"

# Soll das Masquerding aktiviert werden?
if [ "${MSQ_START}" != "yes" ] ; then 
   echo "Masquerading not activated in /etc/rc.config"
   exit 0
fi

if [ -f /proc/net/ip_masquerade ]; then
  case "$1" in
      start)
          echo "${VERSION} sur Device ${MSQ_DEV} démarre... "
  
  	  for i in ${MSQ_NETWORKS}; do
	    # ajout jfb 29/04/1999 : pour utilisation avec diald 
	   
	    
	    ${IPFWADM} -O -a deny -P udp  -D ${MSQ_NETWORKS} 	-W ${MSQ_DEV}
	    ${IPFWADM} -O -a deny -P tcp  -D ${MSQ_NETWORKS} 	-W ${MSQ_DEV}
	    ${IPFWADM} -O -a deny -P tcp  -D any/0 67:68   	-W ${MSQ_DEV}
	    ${IPFWADM} -O -a deny -P udp  -D any/0 67:68 	-W ${MSQ_DEV}
	    ${IPFWADM} -O -a deny -P tcp  -D any/0 137:139 	-W ${MSQ_DEV}
	    ${IPFWADM} -O -a deny -P udp  -D any/0 137:139 	-W ${MSQ_DEV}
	    ${IPFWADM} -O -a deny -P tcp  -D any/0 213 		-W ${MSQ_DEV}
	    ${IPFWADM} -O -a deny -P udp  -D any/0 213 		-W ${MSQ_DEV}
	    
	   
	    # ne pas forwarder :
	    # les demandes de dhcp : bootpc, bootps (67:68)
	    # les demandes de browsing W95... : 
	    # netbios-ns/137, netbios-dgm/138, netbios-ssn/139
	    # les demandes ipx/213
	    
	    
	    ${IPFWADM} -F -p deny
	    ${IPFWADM} -F -a deny -P tcp -S any/0 67:68  
	    ${IPFWADM} -F -a deny -P udp -S any/0 67:68
	    ${IPFWADM} -F -a deny -P tcp -S any/0 137:139
	    ${IPFWADM} -F -a deny -P udp -S any/0 137:139
	    ${IPFWADM} -F -a deny -P tcp -S any/0 213
	    ${IPFWADM} -F -a deny -P udp -S any/0 213
	    
	    
	    ${IPFWADM} -F -a deny -P tcp  -D any/0 67:68  	-W ${MSQ_DEV}
	    ${IPFWADM} -F -a deny -P udp  -D any/0 67:68 	-W ${MSQ_DEV}
	    ${IPFWADM} -F -a deny -P tcp  -D any/0 137:139 	-W ${MSQ_DEV}
	    ${IPFWADM} -F -a deny -P udp  -D any/0 137:139 	-W ${MSQ_DEV}
	    ${IPFWADM} -F -a deny -P tcp  -D any/0 213 		-W ${MSQ_DEV}
	    ${IPFWADM} -F -a deny -P udp  -D any/0 213 		-W ${MSQ_DEV}
	    ${IPFWADM} -F -a deny -P tcp  -D ${MSQ_NETWORKS} 	-W ${MSQ_DEV}
	    ${IPFWADM} -F -a deny -P udp  -D ${MSQ_NETWORKS} 	-W ${MSQ_DEV}
	    
	
            ${IPFWADM} -F -a accept -P tcp -S $i -D 0/0 -W sl0
	    ${IPFWADM} -F -a accept -P udp -S $i -D 0/0 -W sl0
            ${IPFWADM} -F -a accept -P tcp -S $i -D 0/0 -m -W ${MSQ_DEV} 
	    ${IPFWADM} -F -a accept -P udp -S $i -D 0/0 -m -W ${MSQ_DEV} 
	    
            

	    
	  done

	  for i in ${MSQ_MODULES}; do	
            ${INSMOD} $i
          done
          ;;

      stop)
          echo "arrêt masquerading..."
	  for i in ${MSQ_NETWORKS}; do
	    ${IPFWADM} -I -f
	    ${IPFWADM} -O -f
	    ${IPFWADM} -F -f	
            #${IPFWADM} -F -d accept -P all -S $i -D 0/0 -m -W ${MSQ_DEV}
	    
	  done

	  for i in ${MSQ_MODULES}; do	
            ${RMMOD} $i
          done
          ;;

      list)
          ${IPFWADM} -lIn
	  ${IPFWADM} -lOn
          ${IPFWADM} -lFn
          ${IPFWADM} -lMne
	  ;;

      *)
          echo ""
          echo "Usage: $0 {start|stop|list}"
          exit 1
  esac
else
	echo "kernel lacks masquerading support"
	exit 1
fi

Règles générées
===============

 IP firewall input rules, default policy: accept
 
 IP firewall output rules, default policy: accept
 pkts bytes type  prot opt  tosa tosx ifname  ifaddress       source               destination          ports
    0     0 deny  udp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            192.168.168.0/24     * -> *
    0     0 deny  tcp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            192.168.168.0/24     * -> *
    0     0 deny  tcp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 67:68
    0     0 deny  udp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 67:68
    0     0 deny  tcp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 137:139
    0     0 deny  udp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 137:139
    0     0 deny  tcp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 213
    0     0 deny  udp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 213



IP firewall forward rules, default policy: deny
 pkts bytes type  prot opt  tosa tosx ifname  ifaddress       source               destination          ports
    0     0 deny  tcp  ---- 0xFF 0x00 *       0.0.0.0         0.0.0.0/0            0.0.0.0/0            67:68 -> *
    0     0 deny  udp  ---- 0xFF 0x00 *       0.0.0.0         0.0.0.0/0            0.0.0.0/0            67:68 -> *
    0     0 deny  tcp  ---- 0xFF 0x00 *       0.0.0.0         0.0.0.0/0            0.0.0.0/0            137:139 -> *
    0     0 deny  udp  ---- 0xFF 0x00 *       0.0.0.0         0.0.0.0/0            0.0.0.0/0            137:139 -> *
    0     0 deny  tcp  ---- 0xFF 0x00 *       0.0.0.0         0.0.0.0/0            0.0.0.0/0            213 -> *
    0     0 deny  udp  ---- 0xFF 0x00 *       0.0.0.0         0.0.0.0/0            0.0.0.0/0            213 -> *
    0     0 deny  tcp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 67:68
    0     0 deny  udp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 67:68
    0     0 deny  tcp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 137:139
    0     0 deny  udp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 137:139
    0     0 deny  tcp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 213
    0     0 deny  udp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            0.0.0.0/0            * -> 213
    0     0 deny  tcp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            192.168.168.0/24     * -> *
    0     0 deny  udp  ---- 0xFF 0x00 ppp0    0.0.0.0         0.0.0.0/0            192.168.168.0/24     * -> *
    0     0 acc   tcp  ---- 0xFF 0x00 sl0     0.0.0.0         192.168.168.0/24     0.0.0.0/0            * -> *
   16  1068 acc   udp  ---- 0xFF 0x00 sl0     0.0.0.0         192.168.168.0/24     0.0.0.0/0            * -> *
    0     0 acc/m tcp  ---- 0xFF 0x00 ppp0    0.0.0.0         192.168.168.0/24     0.0.0.0/0            * -> *
  230 14327 acc/m udp  ---- 0xFF 0x00 ppp0    0.0.0.0         192.168.168.0/24     0.0.0.0/0            * -> *



====================================
====================================

Activation diald

====================================



ifconfig apres diald/masq , liaison non active
===============

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Bcast:127.255.255.255  Mask:255.0.0.0
          UP BROADCAST LOOPBACK RUNNING  MTU:3584  Metric:1
          RX packets:57411 errors:0 dropped:0 overruns:0
          TX packets:57411 errors:0 dropped:0 overruns:0

eth0      Link encap:10Mbps Ethernet  HWaddr 00:10:5A:31:A1:F3
          inet addr:192.168.168.4  Bcast:192.168.168.255  Mask:255.255.255.0
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:1115922 errors:6 dropped:0 overruns:0
          TX packets:127062 errors:0 dropped:0 overruns:0
          Interrupt:12 Base address:0xe800 

sl0       Link encap:Serial Line IP  
          inet addr:127.0.0.3  P-t-P:127.0.0.2  Mask:255.0.0.0
          UP POINTOPOINT RUNNING  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0
          TX packets:2 errors:0 dropped:0 overruns:0



netstat apres diald/masq, liaison non active
===============

Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
255.255.255.255 0.0.0.0         255.255.255.255 UH     1500 0          0 eth0
127.0.0.2       0.0.0.0         255.255.255.255 UH     1500 0          0 sl0
192.168.168.0   0.0.0.0         255.255.255.0   U      1500 0          0 eth0
255.255.255.0   0.0.0.0         255.255.255.0   U      1500 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U      3584 0          0 lo
0.0.0.0         0.0.0.0         0.0.0.0         U      1500 0          0 sl0



netstat apres diald/masq, liaison active
===============
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
255.255.255.255 0.0.0.0         255.255.255.255 UH     1500 0          0 eth0
127.0.0.2       0.0.0.0         255.255.255.255 UH     1500 0          0 sl0
195.220.59.110  0.0.0.0         255.255.255.255 UH     1500 0          0 ppp0
192.168.168.0   0.0.0.0         255.255.255.0   U      1500 0          0 eth0
255.255.255.0   0.0.0.0         255.255.255.0   U      1500 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U      3584 0          0 lo
0.0.0.0         0.0.0.0         0.0.0.0         U      1500 0          0 ppp0
0.0.0.0         0.0.0.0         0.0.0.0         U      1500 0          0 sl0

ifconfig diald/ppp activé
===============
lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Bcast:127.255.255.255  Mask:255.0.0.0
          UP BROADCAST LOOPBACK RUNNING  MTU:3584  Metric:1
          RX packets:57414 errors:0 dropped:0 overruns:0
          TX packets:57414 errors:0 dropped:0 overruns:0

eth0      Link encap:10Mbps Ethernet  HWaddr 00:10:5A:31:A1:F3
          inet addr:192.168.168.4  Bcast:192.168.168.255  Mask:255.255.255.0
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          RX packets:1116353 errors:6 dropped:0 overruns:0
          TX packets:127075 errors:0 dropped:0 overruns:0
          Interrupt:12 Base address:0xe800 

sl0       Link encap:Serial Line IP  
          inet addr:127.0.0.3  P-t-P:127.0.0.2  Mask:255.0.0.0
          UP POINTOPOINT RUNNING  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0
          TX packets:8 errors:0 dropped:0 overruns:0

ppp0      Link encap:Point-Point Protocol  
          inet addr:195.220.48.115  P-t-P:195.220.59.110  Mask:255.255.255.0
          UP POINTOPOINT RUNNING  MTU:1500  Metric:1
          RX packets:13 errors:0 dropped:0 overruns:0
          TX packets:17 errors:0 dropped:0 overruns:0

Cette page fait partie des archives des listes de diffusion de l'association CULTe.

A l'intention des mechants robots qui parcourent notre site a la recherche d'adresses electroniques a cibler avec des pourriels, voici une liste d'adresses pourries.