proxy et sous reseau

[lanzaroto]

bonsoir <BR> <BR>Nouveau sur ixus pour poster un mail mais lecteur depuis un certain temps deja <BR> <BR>J'utilise ipcop comme passerelle internet <BR> <BR>Je tente de configurer un routeur en ip statique d'un sous réseau, pour cela je me suis aidé du site d'Antolien, tous les pings fonctionnent <BR> <BR>ipcop-------------------routeur---------------------pc <BR>192.168.0.1 192.168.0.5 192.168.1.5 192.168.1.1 <BR> <BR>Ping sans probleme de pc vers ipcop <BR>ping sans probleme de ipcop ver pc <BR> <BR>pc peut recevoir ses mails avec fetchmail depuis free.fr <BR> <BR>par contre IMPOSSIBLE de surfer se le net depuis pc en gardant actif et transparent le squid d'ipcop <BR> <BR>pour surfer depuis pc je suis oblige de desactiver le proxy d'ipcop, ce qui ne m'arrange pas <BR> <BR>le rc.local d'ipcop contient la ligne suivante <BR> <BR>route add -net 192.168.1.0/24 gw 192.168.0.5 eth0 <BR> <BR> <BR>Comment faire pour garder actif le proxy d'ipcop et permettre a pc de surfer sans probleme ? <IMG SRC="images/smiles/icon_confused.gif">

[antolien]

Il va falloir autoriser le sous-réseau dans les ACL de ton squid.conf <BR> <BR>ajouter une ligne du genre acl localnet src sousréseau/masque <BR> <BR>Et aussi une regle iptables de prerouting pour ton sous-réseau

[bobox]

salut <BR> <BR>les deux problemes sont lié : <BR> <BR>comme le dit Antolien , il faut editer ton fichier Squid.conf et soit <BR> <BR>modifier la ligne ACL localnet en reduisant ton masque et ton adresse de réseau <BR> <BR>soit ajouter un ACL localnet de plus <BR> <BR>A PLUS

[lanzaroto]

Re bonsoir, <BR> <BR>Un grand merci de m'avoir repondu <BR> <BR>Cela marche pour squid, j'ai rajoute la ligne. Pour info, il est necessaire d'ajouter dans /etc/hosts.allow la ligne sous-reseau/netmask, par exemple <BR> <BR>ALL : 192.168.1.0/255.255.255.0 <BR> <BR>Sinon au reboot squid ne prend pas en consideration la modification <BR> <BR>En ce qui conconcerne le masquerading, (j'ai ipcop version 1.3.0) <BR> <BR>dans rc.firewall j'ai la ligne <BR> <BR> #outgoing masquerading <BR> /sbin/iptables -t nat -A RED -o $IFACE -j masquerading <BR> <BR>On dirait que cela prend en consideration tout ce qui sort sur RED, est ce que je me trompe ? <BR> <BR>la ligne iptables que je connais pour le masquerading est <BR> <BR> /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADING <BR> <BR>Je l'ai positionné en dessous de la precedente, je n'ai pas de message d'erreur et ne sais pas si c'est efficace <BR> <BR>Qu'en pensez vous ? <BR> <BR>Et merci encore <BR> <BR>Lanzaroto

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-09-29 18:01, lanzaroto a écrit: <BR>Re bonsoir, <BR> <BR>Un grand merci de m'avoir repondu <BR> <BR>Cela marche pour squid, j'ai rajoute la ligne. Pour info, il est necessaire d'ajouter dans /etc/hosts.allow la ligne sous-reseau/netmask, par exemple <BR> <BR>ALL : 192.168.1.0/255.255.255.0 <BR> <BR>Sinon au reboot squid ne prend pas en consideration la modification <BR> <BR>En ce qui conconcerne le masquerading, (j'ai ipcop version 1.3.0) <BR> <BR>dans rc.firewall j'ai la ligne <BR> <BR> #outgoing masquerading <BR> /sbin/iptables -t nat -A RED -o $IFACE -j masquerading <BR> <BR>On dirait que cela prend en consideration tout ce qui sort sur RED, est ce que je me trompe ? <BR> <BR>la ligne iptables que je connais pour le masquerading est <BR> <BR> /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADING <BR> <BR>Je l'ai positionné en dessous de la precedente, je n'ai pas de message d'erreur et ne sais pas si c'est efficace <BR> <BR>Qu'en pensez vous ? <BR> <BR>Et merci encore <BR> <BR>Lanzaroto <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>La seconde ligne ne sert à rien... Le masquerading est fait pour tout ce qui sort du firewall grace à la première. <BR> <BR>Pour le host.allow; je suis un peu etonné car ca sert à un peu plus que squid, je ne vois pas trop pourquoi ça lui est necessaire... <BR> <BR>t.

[lanzaroto]

J'en ai deduit que l'equipe d'ipcop a installé un controle pour eviter d'exploiter une eventuel faille <BR> <BR>Merci d'avoir ete auusi rapide a repondre, c'est tres sympa

[antolien]

Je suis très étonné aussi de cet ajout dans le hosts.allow <BR> <BR>Le fait d'autoriser des trucs dans ce fichier de conf , c'est lorsque le démon est géré par tcpwrapper ou inetd. C'est pourquoi je trouve ton truc assez étonnant. <BR> <BR>Ce serait quand même mieux d'ajouter juste le démon squid au lieu de "ALL".

[lanzaroto]

Je dois m'absenter une petite heure, mais a mon retour je vais fouiner <BR> <BR>Vous m'avez mis un doute, je vais faire des essais ce soir au cas où cela viendrait d'une mauvaise manip de ma part <BR> <BR>

[lanzaroto]

re bonsoir <BR> <BR>VOUS AVIEZ RAISON et J'AVAIS TORD c'etait une fausse manip de ma part hosts. allow n'a strictement rien a voir aves squid, j'ai retiré la ligne et sans probleme le sous-reseau fonctionne avec squid (j'en ai profité pour relire tcpwrapper) <BR> <BR>Toutes mes excuses, grace a vous ipcop et le routeur derriere fonctionne correctement <BR> <BR>Merci encore <BR> <BR>A la prochaine