sous reseau, global intranet, internet

par **leonezzar** » 28 Oct 2003 14:11

je vous explique mon probleme j'ai un reseau de ce type : agence (192.168.13.0/24) | routeur1 (192.168.13.200/24) | | GLOBAL INTRANET (FT) | | routeur2 (192.168.0.200/24) | Siège social 192.168.0.0/24) | | IPCOP Version 1.2 (192.168.0.240/24) | @IP internet Fixe je sais pas si mon shema est tres clair... je souhaite que l'agence (192.168.13.0/24) ai acces a internet en utilisant la connexion adsl du siege social et donc en passant par le global intranet de FT FT a definit ipcop comme passerelle par defaut sur le routeur2 grace au site <A HREF="http://antolien.nerim.net/" TARGET="_blank">d'Antolien</A> j'ai defini une route sur ipcop pour qu'il voit le sous reseau 192.168.13.0/24 route add -net 192.168.13.0/24 gw 192.168.0.200 je peux a present pinguer les postes du sous reseau a partir d'ipcop et je peux pinguer ipcop a partir des postes du sous reseau les postes du siege social ont bien entendu acces au net via ipcop. j'ai encore un probleme, je n'arrive pas a acceder a internet a partir des postes du sous reseau 192.168.13.0/24 sachant que la configuation ip des poste est @ip : 192.168.13.X masque : 255.255.255.0 Gw : 192.168.13.200 (routeur1) dns : 192.168.0.240 (IPCOP) ai je oublié quelque chose ??? (sur les postes ou sur ipcop ?) a moins qu'il manque des parametre dans les routeurs de FT ?? Merci de votre aide. _________________ En avant, toujours en avant, l'histoire ne ce répète jamais.

par **tomtom** » 28 Oct 2003 14:19

Est-ce que tu utilises un proxy ? T.

par **remi** » 28 Oct 2003 14:49

Cela vient d'ipcop 1.2, c pas IPTABLES !!! Je le sais je suis dans la meme configuration !! Il faut donc utiliser la procédure que nous avions mis en place avec antolien(on avait bien galérer !) <a href="http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=103" target="_blank">http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=103</a> voili voilou... <IMG SRC="images/smiles/icon_biggrin.gif"> _________________ Vers l'infini et l'au-dela" L'homme à qui on a volé son avatar

par **tomtom** » 28 Oct 2003 14:53

Boudiou, le fameux masquage du sous-réseau : Bien vu Remi <IMG SRC="images/smiles/icon_wink.gif"> t.

par **leonezzar** » 28 Oct 2003 15:16

non j'utilise pas de proxy j'ai utiliser la procedure que tu me donnes remi mais ca n'a rien changer perso mon interface verte est en eth0 par contre je ne les ais pas mis dans le fichier /rc.d/rc.firewall.up car je voulais d'abord tester en les rentrant a la main ... est ce que ca change quelque chose ??? merci

par **remi** » 28 Oct 2003 15:19

non, tu peux tout rentrer a la main, ... Il n'y a pas de probleme.

par **leonezzar** » 28 Oct 2003 15:34

je viens de rajouter ca puisqu'il que vous dites que c'est utile mais je l'avais mis ce matin et ca ne marchias pas mieux <IMG SRC="images/smiles/icon_frown.gif"> # règle de masquage après les lignes du paragraphe #enable MASQ ipchains -A forward -j MASQ -s 192.168.13.0/24 -d 0.0.0.0/0 a quoi correspond cette regle exactement ?? je ne vois pas ce que ca signifie. je prefere etre sur de mes modifs avant de contacter FT pour voir la config des routeurs du global intranet

par **remi** » 28 Oct 2003 15:48

Ces modifs si je ne dis pas de bétises masquent l'adresse ip entrente (coé green) Tu as raison aussi : il faut bien que les routeurs de transpac redirigent les flux vers l'IPCOP (80,25,110) _________________ Vers l'infini et l'au-dela" L'homme à qui on a volé son avatar

par **tomtom** » 28 Oct 2003 15:49

OK, l'idée c'est que comme tu n'as qu'un ip publique, il faut faire ce que l'on appelle du "masquerding" pour que toutes les connexions sortantes utilisent la seule ip publique dont tu dispose. Avec ipcop 1.3, toutes les connexions sortant par l'interface internet (e.g, ppp0) sont "masquerisées", mais avec 1.2, ce n'etait pas la cas. En effet, il y a un filtrage sur la source des paquets avet de faire le masqurading. Donc, il est necessaire d'indiquer à ipcop qu'il doit aussi effectuer du masquerading pour les paquets provenant du sous-réseau ! Pour etre sur, peux-tu nous envoyer : la table de routage : #route la liste des règles appliquées : ipchains -L -n (-v) t.

par **leonezzar** » 28 Oct 2003 16:16

Merci pour les explications ... voici ma table de routage Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 193.253.160.3 * 255.255.255.255 UH 0 0 0 ppp0 193.253.160.3 * 255.255.255.255 UH 0 0 0 ipsec0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 192.168.13.0 192.168.0.200 255.255.255.0 UG 0 0 0 eth0 1.1.1.0 * 255.255.255.0 U 0 0 0 eth1 192.168.236.0 193.253.160.3 255.255.255.0 UG 0 0 0 ipsec0 default 193.253.160.3 0.0.0.0 UG 0 0 0 ppp0 et la liste des regles appliquées Chain input (policy REJECT): target prot opt source destination ports ipac_bth all ------ 0.0.0.0/0 0.0.0.0/0 n/a ipac_in all ------ 0.0.0.0/0 0.0.0.0/0 n/a squid all ------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a secin all ------ 0.0.0.0/0 0.0.0.0/0 n/a block all ------ 0.0.0.0/0 0.0.0.0/0 n/a - all ----l- 0.0.0.0/0 0.0.0.0/0 n/a Chain forward (policy REJECT): target prot opt source destination ports secout all ------ 0.0.0.0/0 0.0.0.0/0 n/a MASQ all ------ 192.168.13.0/24 0.0.0.0/0 n/a MASQ all ------ 192.168.0.0/24 0.0.0.0/0 n/a MASQ all ------ 192.168.0.0/24 0.0.0.0/0 n/a MASQ all ------ 192.168.0.0/24 0.0.0.0/0 n/a dmzholes all ------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT all ------ 0.0.0.0/0 192.168.0.0/24 n/a - all ----l- 0.0.0.0/0 0.0.0.0/0 n/a Chain output (policy ACCEPT): target prot opt source destination ports ipac_bth all ------ 0.0.0.0/0 0.0.0.0/0 n/a ipac_out all ------ 0.0.0.0/0 0.0.0.0/0 n/a Chain squid (1 references): Chain secin (1 references): target prot opt source destination ports ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a Chain secout (1 references): target prot opt source destination ports ACCEPT all ------ 0.0.0.0/0 0.0.0.0/0 n/a Chain block (1 references): target prot opt source destination ports ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 1024:65535 ACCEPT udp ------ 0.0.0.0/0 0.0.0.0/0 * -> 1024:65535 ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 1024:65535 ACCEPT udp ------ 0.0.0.0/0 0.0.0.0/0 * -> 1024:65535 ACCEPT tcp ------ 0.0.0.0/0 0.0.0.0/0 * -> 1024:65535 ACCEPT udp ------ 0.0.0.0/0 0.0.0.0/0 * -> 1024:65535 xtaccess all ------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT udp ------ 0.0.0.0/0 0.0.0.0/0 * -> 500 ACCEPT gre ------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT ipv6-crypt------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT ipv6-auth------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT udp ------ 0.0.0.0/0 0.0.0.0/0 * -> 500 ACCEPT gre ------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT ipv6-crypt------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT ipv6-auth------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT udp ------ 0.0.0.0/0 0.0.0.0/0 * -> 500 ACCEPT gre ------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT ipv6-crypt------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT ipv6-auth------ 0.0.0.0/0 0.0.0.0/0 n/a ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> * ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> * ACCEPT icmp ------ 0.0.0.0/0 0.0.0.0/0 * -> * desoler pour la mise a page je sais que c'est pas terrible je n'ai pas mis les regles configurer dans l'interface web ...

par **leonezzar** » 28 Oct 2003 20:58

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-10-28 13:49, remi a écrit: Cela vient d'ipcop 1.2, c pas IPTABLES !!! Je le sais je suis dans la meme configuration !! Il faut donc utiliser la procédure que nous avions mis en place avec antolien(on avait bien galérer !) <a href="http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=103" target="_blank">http://www.ixus.net/modules.php?name=Content&pa=showpage&pid=103</a> _______________ Vers l'infini et l'au-dela" L'homme à qui on a volé son avatar </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> je voulais juste rajouter que par rapport a la doc j'ai deux routeurs a traverser est ce que le faite que ca ne marche pas chez moi viens de la ???

sous reseau, global intranet, internet

Qui est en ligne ?