Echec de ping au delà du routeur depuis ipcop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar jameslechat » 22 Août 2003 12:56

Salut, <BR>besoin d'un coup de main: <BR> <BR>- <BR>-Routeur/Modem DSL Netgear DG814 ->LAN: 192.168.1.1 <BR>-PC IPCOP <BR>->green 192.168.0.0/24 par 192.168.0.3 <BR>->red 192.168.1.0/24 par 192.168.1.3 <BR>-Switch netgear 16P <BR>-Clients red hat + w2k en 192.168.0.0/24 <BR>-free degroup 1024 en ip fixe 81.57.x.x <BR> <BR>le pb: les ping passent d'ipcop vers le LAN du netgear et vers mon adresse WAN mais pas au delà et, des clients LAN , nada ( timeout). <BR>route -n indique une table correcte mais au niveau de netfilter, le fichier de config m'a un peu embrouillé! <BR> <BR>qq'un a une idée ? <BR> <BR>un grand merci <BR> <BR> <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
jameslechat
Matelot
Matelot
 
Messages: 4
Inscrit le: 22 Août 2003 00:00

Messagepar tomtom » 22 Août 2003 14:30

Tes clients du green n'arrivent mêmepas à pinger l'interface lan du routeur ? c'est etrange ! <BR> <BR>Sinon, es-tu sur de la conf du ipcop en free degroupé ? Je ne connais pas bien, mais c'est une config particulière (voir avec Gesp pour ça...) <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar nemesis » 22 Août 2003 14:35

tout depend de ce k'il a comme degroupage si c'est une freeboxen ethernet ça roule tou seul en mettant l'interface red d'ipcop en dhcp! <BR>moi c'est ce que j'ai et ça roule ss pb!
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar tomtom » 22 Août 2003 14:40

Oui je sais on en a deja parlé, je voulais justement parler de ça <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar nemesis » 22 Août 2003 14:42

<IMG SRC="images/smiles/icon_lol.gif"> <BR>je suis po réveillé moaaa <IMG SRC="images/smiles/icon_lol.gif">
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar jameslechat » 22 Août 2003 17:33

la freebox, je me suis fait carotte <BR>dslam trop loin donc j'ai eu droit à un sagem usb. <BR>je l'ai testé mais je ne l'ai pas gardé en fonctionnement. <BR> <BR>c'est donc le routeur netgear qui fait modem dls et la config pour le 1024 est donnée <BR>sur le forum netgear - c'est là que je me suis aperçu que l'ip fixe etait mise d'office !! <BR> <BR>or donc le routage fonctionne, mes clients ping les deux interfaces réseau d'ipcop mais pas plus loin. <BR>ipciop lui même joint l'adresse wan du routeur mais s'arrête là ! <BR> <BR> <BR>
Avatar de l’utilisateur
jameslechat
Matelot
Matelot
 
Messages: 4
Inscrit le: 22 Août 2003 00:00

Messagepar tomtom » 22 Août 2003 17:49

Ya un bins... <BR> <BR>Soit ton routeur bloque des trucs... <BR>Soit il est mal configuré pour la connexion degroupée, voila tout ce que je peux dire... <BR> <BR>Apres, faudrait voir si tu n'as pas des logs sur le routeur, pour voir ou ca bloque.... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar jameslechat » 22 Août 2003 17:57

faut dire que ce routeur est un sac de noeuds: <BR> <BR>nmap indique : <BR> <BR>os type : windows ME 4.9.3000 !!!!! <BR>et, pas mal non plus : <BR> <BR>tcp/139 : initialisation côté wan autorisée <- ça c'est de la sécurité <IMG SRC="images/smiles/icon_eek.gif">
Avatar de l’utilisateur
jameslechat
Matelot
Matelot
 
Messages: 4
Inscrit le: 22 Août 2003 00:00

Messagepar Gesp » 22 Août 2003 18:32

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>->red 192.168.1.0/24 par 192.168.1.3 </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>quelle version essayes-tu d'utiliser? <BR>parce que je ne suis pas sur que la V1.3.1 le permette à cause de rc.firewall <BR> # Outgoing masquerading <BR> <BR> /sbin/iptables -t nat -A RED -o $IFACE --destination 192.168.0.0/16 -j DROP # Private addresses <BR> <BR>mais je n'ai pas encore trouvé le temps de comprendre la syntaxe iptable<BR><BR><font size=-2></font>
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00

Messagepar tomtom » 22 Août 2003 18:52

C'est bien vu ça Gesp, ça pourrait expliquer certaines choses, mais je ne vois pas trop alors pourquoi les pongs vers le modem fonctionneraient, or ça a l'air d'être le cas... <BR> <BR>Il faudrait decidemment que je me plonge un peu dans la structure d'ipcop, mais plus ça va et plus je trouve que cette façon de tout compliquer est deconcertante.... <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar jameslechat » 22 Août 2003 18:59

j'utilise la 1.3.0 de base <BR> <BR>j'ai pas encore regardé les régles de netfilter <BR> <BR>il est possible que l'ip masquerade ne fonctionne pas correctement <BR>en ce sens que , dans mon cas, le routeur fait déjà du nat pour moi... <BR>et je ne sais pas si on peut faire du "nat sur du nat" <BR>( c'est mal dit mais c'est ça): <BR> <BR>le routeur fait du nat sur 192.168.1.0/24 -->WAN <BR>et ipcop "ferait" du nat sur 192.168.0.0/24-->ETH1 <BR> <BR>faut que je verifie... <BR> <BR> <BR> <BR> <BR>
Avatar de l’utilisateur
jameslechat
Matelot
Matelot
 
Messages: 4
Inscrit le: 22 Août 2003 00:00

Messagepar Gesp » 22 Août 2003 21:00

On peut faire 2 NAT à la suite mais ce n'est pas l'idéal. <BR> <BR>A part utiliser le Sagem800 en amont d'IPCop <IMG SRC="images/smiles/icon_razz.gif"> (d'ailleurs je n'ai pas eu de retour pour valider les dernières modifs concernant le Free dégroupé alors je cherche un testeur), je suppose qu'il est possible de configurer le modem routeur Netgear en bridge pour ne plus router. <BR> <BR> <BR> <BR>La réponse au pourquoi du filtrage est donné dans l'explication donnée par MarkWormgoor sur l'antispoofing <BR><!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=5373&forum=10&start=45" target="_blank">http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=5373&forum=10&start=45</a><!-- BBCode auto-link end --> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>You cannot send a packet from a private IP address out the red interface. However, you can still send a packet to a private IP address out, confusing the next router </BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR><!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE>The thought behind anti-spoofing is that it's up to the originating network to only allow traffic with valid source addresses (coming from its own network) out on the internet.</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Le NAT sortant est filtré mais je suppose que l'interface RED est en amont dans la table donc ce filtrage ne s'appliquerait pas quand on ping directement depuis IPCop (sans être NATé) <IMG SRC="images/smiles/icon_confused.gif">
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron