probléme d'accés Orange -> red

[Blaise]

Bonjour,

J'ai une station linux en orange, elle sais pinger :
+ l'ip orange d'ipcop
+ l'ip red d'ipcop
+ l'ip green d'ipcop

mais pas :
- l'ip d'une sation green (logique)
- l'ip de mon modem
- l'ip d'un site web

Pourquoi n'ais-je pas accés a l'extérieur de mon interface RED ?
Ma machine à pourtant le bonne paserelle et le bon dns (ip orange d'ipcop)


Merci

[Gandalf]

Inscris les DNS de ton FAI tu verras ça marchera nettement mieux, il ne faut pas mettre l'IP de ta carte orange !

[Blaise]

Ok et avec Debian ou je trouve le fichier pour changer le DNS ?
(gros newbie sous linux)

[braouazou]

Dans mon cas, il m'a toujours été impossible de pinger l'extérieur également. Et ce depuis la version 1.3 (j'en suis à la 1.4rc3).

Ce n'est pas un problème de dns, puisque depuis mon serveur en orange, je peux faire du ftp, du http (par exemple apt fonctionne sans souci).
Mais les paquets icmp semblent ne pas passer.

Je n'ai jamais cherché plus en profondeur, mais ça doit être une règle iptables d'IPCop qui empêche cela. Volontaire ou pas, je ne sais pas...
De toute façon, ce n'est pas gênant

Code: Tout sélectionner

ping www.google.com
PING www.google.akadns.net (216.239.59.99) 56(84) bytes of data.

--- www.google.akadns.net ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999m

PS: pour info, pour changer les DNS sous Linux (pas que Debian), il faut éditer le fichier /etc/resolv.conf avec la syntaxe :

Code: Tout sélectionner

nameserver xxx.xxx.xxx.xxx

et tu en mets tant que tu veux (2 suffisent amplement )

@+

[Blaise]

oui mais moi je n'ai même pas la deuxiéme ligne
PING www.google.akadns.net (216.239.59.99) 56(84) bytes of data.

Merci pour le nameserver

[braouazou]

Dans ce cas il peut en effet s'agir d'un problème de DNS...
Renseigne, comme conseillé, les DNS de ton FAI dans /etc/resolv.conf

@+

[Blaise]

Oui ça marche miantenat j'ai aussi ping surs akdns etc..


MERCI

[Chikouille]

ipcop 1.4b9
j'ai regardé dans iptables et j'ai modifié cela pour laisser passer le ping
(je n'ai pas bien saisi le rapport avec les DNS ?)

rc.firewall

# Orange pinholes
if [ "$ORANGE_DEV" != "" ]; then
# This rule enables a host on ORANGE network to connect to the outside
# (only if we have a red connection)
if [ "$IFACE" != "" ]; then
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p tcp \
-o $IFACE -j ACCEPT
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p udp \
-o $IFACE -j ACCEPT
/sbin/iptables -A REDFORWARD -i $ORANGE_DEV -p icmp \
-o $IFACE --icmp-type 8 -m state --state NEW -j ACCEPT

rc.firewall.local

/sbin/iptables -A CUSTOMFORWARD -i eth2 -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT

Je ne sais pas si cela sert a quelqu'un, j'ai pris cela comme un "cas d'ecole".
D'ailleurs, en passant, quelqu'un pourrait me donner la commande pour redemarrer iptables, pasque la c'est a coup de setup que je fais ca et ca fais pas tres pro

ce qui suit ne fonctionne pas :
"Once you've created that file, restart iptables with the following command:
service iptables restart
If the service command doesn't work, you can do it the old fashioned way:
/etc/rc.d/init.d/iptables restart"

Merci, a+

[braouazou]

Merci, ta règle fonctionne

Pour redémarrer le script iptables :

Code: Tout sélectionner

/etc/rc.d/rc.firewall restart

Les règles inclues dans rc.firewall.local sont alors également prises en compte.

@++

[tomtom]

(je n'ai pas bien saisi le rapport avec les DNS ?)

Il y a deux "problèmes" distincts :

Le premier, c'est que l'icmp semble etrangement bloqué de orange vers red.
Le second, c'est que le dnsmasq d'ipcop ne fonctionne pas sur l'interface orange, et donc on ne peut utiliser ipcop comme @de dns pour les serveurs en orange.

t.

[Chikouille]

ok, apparament c'est plutot compliqué avec iptables
c'est dommage d'avoir un serveur de temps et dns sur ipcop et de devoir utiliser systematiquement des services externes.

merci pour vos reponses