Re: routeur : ping impossible sur le réseau

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: GUILDE
題目: Re: routeur : ping impossible sur le réseau
    Hello Patrice,

    ah, on parle de moi dans ton mail : Je suis obligé de répondre... ;)


Patrice Karatchentzeff a écrit :
> Salut,
>
> J'ai rémonté un routeur depuis Une Ubuntu :
>
> # cat /etc/network/interface
>
> auto lo
> iface lo inet loopback
>
> auto eth0
> iface eth0 inet dhcp
>
> #auto eth1
> #iface eth1 inet dhcp
>
> # local network
> auto eth1
> iface eth1 inet static
>      address 192.168.0.1
>      netmask 255.255.255.0
> #     broadcast 192.168.0.255
> #     gateway 192.168.0.1
> up route add -host 192.168.0.1/32 eth1


    Cette ligne me semble inutile : ifconfig est supposé rajouter de
lui-même cette ligne


> # route
> Table de routage IP du noyau
> Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
> cchartreuse     *               255.255.255.255 UH    0      0        0 eth1


        Qui est "Cchartreuse" ? Avec un double "c" Que vient faire cette
 route ici ?
                 ^^^


> 192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
> 82.243.255.0    *               255.255.255.0   U     0      0        0 eth0
> link-local      *               255.255.0.0     U     1000   0        0 eth1
> default         82.243.255.254  0.0.0.0         UG    100    0        0 eth0

>
> J'ai ajouté le script d'Olivier pour faire le nat :
>
> # iptables -L -n -v
> Chain INPUT (policy DROP 6 packets, 315 bytes)
>  pkts bytes target     prot opt in     out     source


le "DROP 6" indique que des paquet ont été refusé en entrée. Cela
peut-être sur n'importe quelle interface

> destination
>     0     0 ACCEPT     all  --  lo     *       0.0.0.0/0
> 0.0.0.0/0
>     0     0 ACCEPT     all  --  eth1   *       192.168.0.0
> 192.168.0.1
>     0     0 ACCEPT     all  --  eth1   *       192.168.0.255
> 192.168.0.1
>   696  673K ACCEPT     all  --  eth0   *       0.0.0.0/0
> 82.XXXXXX       state RELATED,ESTABLISHED
>     0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0
> 82.XXXXXXXX       tcp dpt:22 state NEW,ESTABLISHED
>     6   315 ULOG       all  --  *      *       0.0.0.0/0


Cela me semble tout à fait correct. Je suppose que tu es au courant
pour ton port 22...

> 0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `Netfilter'
> queue_threshold 1


    As-tu installé le paquet "ulog" ? Sinon, cette ligne ne servira à rien,
et même pire, tu perdras les logs concernant les paquets rejetés :
    aptitude install ulog


La liste des paquets bloqués par netfilter :

tail -f /var/log/ulog/syslogemu.log


> Chain FORWARD (policy DROP 0 packets, 0 bytes)
>  pkts bytes target     prot opt in     out     source
> destination
>     0     0 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0
> 192.168.0.0         tcp dpt:80 state NEW,RELATED,ESTABLISHED,UNTRACKED
>     0     0 ACCEPT     tcp  --  eth1   eth0    192.168.0.0
> 0.0.0.0/0           tcp spt:80 state RELATED,ESTABLISHED


    Ces deux lines sont redondantes avec celles ci-dessous. A moins que tu
ne veuilles récupérer des statistiques précises sur le volume de flux
HTTP qui passe par ta passerelle, et à destination de ton réseau interne.


>     0     0 ACCEPT     all  --  eth1   eth0    192.168.0.0
> 0.0.0.0/0           state NEW,RELATED,ESTABLISHED,UNTRACKED
>     0     0 ACCEPT     all  --  eth0   eth1    0.0.0.0/0
> 192.168.0.0         state RELATED,ESTABLISHED


    A noter que pour vérifier que le NAT est bien configuré, il faut aussi
afficher les infos de la table NAT :


    iptables -L -n -v -t nat


> Chain OUTPUT (policy DROP 12 packets, 759 bytes)
>  pkts bytes target     prot opt in     out     source


    Pareil que plus haut, 12 paquets ont été refusé en emission


> destination
>     0     0 ACCEPT     all  --  *      lo      0.0.0.0/0
> 0.0.0.0/0
>     0     0 ACCEPT     all  --  *      eth1    192.168.0.1
> 192.168.0.0
>     0     0 ACCEPT     all  --  *      eth1    192.168.0.1
> 192.168.0.255
>   664  115K ACCEPT     all  --  *      eth0    82.243.255.72
> 0.0.0.0/0           state NEW,RELATED,ESTABLISHED,UNTRACKED
>    12   759 ULOG       all  --  *      *       0.0.0.0/0
> 0.0.0.0/0           ULOG copy_range 0 nlgroup 1 prefix `Netfilter'
> queue_threshold 1


    Tout me semble OK


> J'ai installé un serveur dhcp qui écoute sur l'interface eth1 :


    Tu as bien écrit


INTERFACES="eth1"

dans ton "/etc/default/dhcp" ?


> il
> m'envoie bien une adresse IP (extratit du lease)
>
> lease 192.168.0.32 {
> starts 6 2008/07/12 09:25:21;
> ends 6 2008/07/12 09:35:21;
> binding state active;
> next binding state free;
> hardware ethernet 00:11:09:66:da:df;
> client-hostname "chartreuse";
> }
>
> mais ensuite
>
> # ping 192.168.0.32
> PING 192.168.0.32 (192.168.0.32) 56(84) bytes of data.
> ping: sendmsg: Operation not permitted
> ping: sendmsg: Operation not permitted
> ping: sendmsg: Operation not permitted


    Le "Operation not permitted" est typique d'un bloquage par netfilter.
Mais je suppute que ton problème vienne de ta route:


<extrait>
cchartreuse     *               255.255.255.255 UH    0      0        0 eth1
</extrait>


> --- 192.168.0.32 ping statistics ---
> 3 packets transmitted, 0 received, 100% packet loss, time 2008ms
>
> Ça m'énerve car je ne comprends pas pourquoi... c'est encore un coup
> d'Ubuntu où bien j'ai fait une boulette et je ne la vois pas ?


    Essayes ceci :


    route del cchartreuse
    route del cchartreuse


    Si cela ne marche pas, envoie-moi en privé les dernières lignes de ton
/var/log/ulog/syslogemu.log


> Merci du coup de main,


    De rien.


    Cordialement,


                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!