Probleme NAT avec la MNF

par **xMaximex** » 15 Mars 2004 17:07

Bonjour J'ai installé hier la MNF sur un PII afin de l'utiliser comme firewall (hé!) sur mon réseau. J'ai configuré la connection ADSL par l'interface eth1 (192.168.1.103) et le réseau local (1 seul PC pour l'instant pour faire des tests) sur eth0 (192.168.1.104). J'ai utiliser l'interface Web pour configurer la connexion à Internet, tout marche #1, je réussis à pinger google.com à partir du firewall. J'ai aussi configuré un serveur DHCP qui fonctionne #1. Le probleme arrive lorsque j'essai de configuré un NAT pour permettre à mon LAN d'acceder à Internet. J'ai bien défini mes zones dans la configuration du pare-feu (eth0 = lan, eth1 = ppp+) et j'ai mit tout les règles par défaut à ACCEPTER (pour ne pas avoir de probleme avec le firewall durant les tests). Les exception, bin il y avais rien à REJECT alors je crois pas que le probleme soit la. Si quelqu'un peut m'aider .. svp Max

par **Malagan** » 15 Mars 2004 17:29

Tu as activé le serveur DHCP de ton MNF? Si tu ne l'A pas fait, je te conseille de le faire car autrement, les postes que tu vas connecté n'auront jamais acces a internet, car la passerelle par défaut ne sera pas configurée comme il faut. Si tu ne veux pas utiliser de DHCP, tu devras alors configurer manuellement la configuration des cartes réseau une par une... ce qui peut s'avérer très long... J'espère t'avoir aidé. P.S. Change l'adresse IP de ta carte pour ton interface internet, car elle pourrait peut-être entrer en conflit ... Carte ETH0 et ETH1 sur le même réseau.... Au pire, sur ta carte ETH1, tu n'en mets pas d'adresse IP car tu n'en a pas besoin si tu utilise PPPoE.

par **Jacques-** » 15 Mars 2004 18:14

Tu ne peux déjà pas avoir 2 adresses dans le même sous-réseau sur 2 cartes différentes dans 2 zones différentes. Supprime l'adresse IP de la carte ETH1 puisque tu es en PPPOE, elle ne sert pas, c'est l'interface PPP qui aura l'adresse publique. Ensuite, il faut activer le masquage d'adresse (zone masquerade dans l'interface de config) et masquer toute l'interface ETH0 par l'interface PPP+, définir l'adresse IP de la carte ETH0 comme routeur par défaut pour tes machines (via le DHCP) et activer le proxy squid (sur le réseau de ETH0). Soit le proxy est en mode transparent et il n'y a rien à configurer côté client, soit il faut mettre l'adresse du proxy dans chaque PC. De plus, la résolution de nom doit être possible si tu fais autre chose que du Web pour les postes du LAN (SMTP, POP, FTP). Dans ce cas, il faut soit ouvrir le port 53 en sortie du LAN vers le WAN et mettre les DNS de ton FAI dans les paramètres IP des PC (via DHCP) soit installer le DNS Caching de la MNF et mettre celle-ci comme serveur DHCP pour tes clients. Jacques PS: ouvrir le firewall en départ, si on veut, mais l'ouvrir en entrée même pour des tests est suffisant pour risquer l'installation d'un cheval de Troie.

par **xMaximex** » 15 Mars 2004 19:13

Ok, j'ai fais les modifications: eth1 (qui est connecté directement au PC par un cross over) : 192.168.1.104/24 eth0 (qui est connecté au modem adsl) : plus d'IP La carte du PC: 192.168.1.160 avec comme passerelle: 192.168.1.104 et comme DNS les serveurs DNS de mon FAI (transmit par le MNF en DHCP) Les zones: lan -- eth1 wan -- ppp+ J'accede parfaitement à internet avec le MNF. Le proxy squid est activé en mode transparent. Le masquage est configuré comme ca: réseau masqué: 192.168.1.0/24 à travers l'interface: ppp+ réseau/masque optionel: rien SNAT: rien Résultat: PAS D'INTERNET SUR LES POSTES <IMG SRC="images/smiles/icon_mad.gif"> <IMG SRC="images/smiles/icon_confused.gif">

par **Malagan** » 16 Mars 2004 05:44

Essai de désactiver ton proxy. S'il est mal configuré, ce qui m'est déja arrivé, tu n'arriveras pas a te connecter car il va bloquer les connections.

par **xadrez** » 20 Mars 2004 10:42

J'avais le même problème... Vérifie que tu as bien autorisé le réseau local à sortir (dans Service/Proxy Web/Url Filter/Réseau Autorisé), dans ton cas, tu mets 192.168.1.0/24

par **zashugan** » 20 Mars 2004 11:42

j'ai un pote qui a mis mandrake 9.1 en firewall sur son réseau local perso. Il a fait les tests pcflank et son pc est partout en stealth! En quoi est ce que MNF diffère de Mandrake 9.1 ?!! Merci <IMG SRC="images/smiles/icon_smile.gif">

par **Jacques-** » 21 Mars 2004 10:17

La MNF veut dire Multi Network Firewall, elle est conçue pour gérer une zone LAN, une zone WAN et plusieurs zone DMZ ce que ne fait pas vraiment la 9.x par défaut. De plus, il y a une interface de configuration et un proxy, serveur DHCP, IDS, etc... installés en standard avec. Mais le firewall est le même, il s'agit du noyau linux avec iptables pour filtrer et shorewall pour le configurer. Pour le problème de connexion du LAN vers le WAN , j'aurais tendance à penser que les postes du réseau local ne font pas de demande vers le web (et donc ne sont pas interceptés par le proxy) parce qu'ils ignorent l'adresse à demander. Si tu tapes un ping <a href="http://www.google.fr" target="_blank">www.google.fr</a> dans une fenêtre de commande d'un des PC du LAN, il y a de grandes chances qu'il réponde que l'adresse est inconnue. Si c'est le cas, il faut autoriser le trafic DNS entre le LAN et le WAN (nommé domain dans la MNF, ou le port 53 au minimum en UDP). Jacques

Probleme NAT avec la MNF

Qui est en ligne ?