logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-10-2015 11:50:28

laurent1
Membre
Distrib. : Debian 7.6
Noyau : Linux 3.2.0-0-686-pae
Inscription : 22-11-2014

Partage impossible

Bonjour,

J'ai un serveur sur lequel j'ai un connexion internet sur la carte eth0.

je souhaite partager la connexion sur mes interfaces eth1 et wlan0.

Pour cela j 'ai mis en place un serveur dhcp isc-dhcp-serveur.

j'ai donné une ip fixe au interface eth1 et wlan0 puis isc délivre des ip sur le réseau correctement que ce soit en wifi ou en filaire, ifconfig me donne une ip et le bon masque sous-reseau.

Pour l interface wlan0 j utilise hostapd.

le problème est qu aucune des machines n accede a internet et que seule les machine connectées en filaire peuvent pinguer le serveur.

je pense a un probleme de routage mais je n y connais pas grand chose.

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
0.0.0.0         192.168.0.254   0.0.0.0         UG    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.112.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.112.0   0.0.0.0         255.255.255.0   U     0      0        0 wlan0
 



iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT

iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

 



Cordialement,
Laurent.


Pc sous debian 7.6 => noyau Linux 3.2.0

Serveur debian 7.6 => Linux 3.2.0

Hors ligne

#2 15-10-2015 12:42:11

Bisounours
Membre
Inscription : 16-02-2008

Re : Partage impossible

J'ai l'impression que tu cherche à partager la connexion internet filaire via du wifi.

Pour ce faire pour quoi ne pas s'intéresser à Squid qui est un proxy.
http://www.squid-cache.org/

tu rajoute un DHCP et DNS et cela devraie rouler.

Sinon il y a des solutions de type ipcop (utilisé notament pour du portail captif wifi) qui doivent tout intégrer.
http://www.ipcop.org/

En cherchent les configurations qu'il utilise tu devrai pouvoir trouver ton bonheur.

Hors ligne

#3 15-10-2015 12:53:47

laurent1
Membre
Distrib. : Debian 7.6
Noyau : Linux 3.2.0-0-686-pae
Inscription : 22-11-2014

Re : Partage impossible

En faite j'aimerais eviter tout ce qui est portail captifs et proxy.
ce que je souhaite faire c'est partager ma connexion internet filaire eth0 sur mon reseau wifi avec wlan0 ET sur mon reseau filaire avec eth1

Cordialement,
Laurent.

Pc sous debian 7.6 => noyau Linux 3.2.0

Serveur debian 7.6 => Linux 3.2.0

Hors ligne

#4 15-10-2015 15:01:26

anonyme
Invité

Re : Partage impossible

tu a activé le nat dans le noyau ? je vois que tu a mit la regle , ensuite il faudrai peut etre ouvrir les routes (eth0 vers eth1 et l inverse et idem pour le wifi )

dans le fichier /etc/sysctl.conf , modifié : la ligne net.ipv4.ip_forward=0 en => net.ipv4.ip_forward=1. (il faut redémarrer la machine)

pour tester je commencerai par tout mettre a "accepter" au niveau des regles , ensuite tu adapte .

entre eth0 et eth1 personnellement j'ai jamais réussit  a faire un parefeu correct , et pour le wifi jamais testé

Dernière modification par anonyme (15-10-2015 15:10:20)

#5 15-10-2015 16:44:27

raleur
Membre
Inscription : 03-10-2014

Re : Partage impossible

Projet intéressant. Tu aurais pu associer eth1 et wlan0 dans un pont (bridge) pour ne constituer qu'un seul réseau ethernet+wifi (comme les points d'accès wifi et les box internet) mais c'est plus simple pour la mise en place de les laisser séparées.


1) eth1 et wlan0 séparées, cela signifie notamment que les sous-réseaux IP des deux interfaces doivent être différents. Tu ne peux pas configurer le même sous-réseau 192.168.112.0/24 sur les deux interfaces.


2) Le "forwarding IP" (fonction routeur IP) est-il activé ?

sysctl -w net.ipv4.ip_forward=1


(pas besoin de redémarrer mais effet non persistant, voir message précédent pour le rendre persistant)


3) Les paquets relayés par la fonction routeur passent dans la chaîne FORWARD mais tu as mis sa politique par défaut à DROP sans aucune règle iptables qui les accepte, par conséquent ils sont bloqués. Pour autoriser les connexions relayées des LAN vers internet, il faut ajouter les règles suivantes :

iptables -A FORWARD -i wlan0 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o wlan0 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o wlan0 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT




Note : ces règles permettent seulement l'accès à internet depuis les deux sous-réseaux, mais pas les communications entre les deux sous-réseaux.


4) Rien à voir avec le partage de connexion, mais tes règles n'autorisent aucun paquet dans l'état NEW en entrée ou en sortie, donc la machine ne peut pas établir de communication avec l'extérieur (sauf en DHCP parce que ça fonctionne directement sur les interfaces sans passer par la couche IP).


Mon conseil : ne mettre en place le filtrage IP que lorsque tout le reste marche. Ainsi si ça ne marche plus on sait que ça vient du filtrage et pas d'autre chose.


Note : La règle de masquerading dans la table "nat" n'est pas du filtrage et est généralement nécessaire pour le partage de connexion avec adressage privé. On peut néanmoins s'en passer si le routeur qui sert de passerelle à la machine qui fait le partage
a) fait déjà du masquerading (c'est forcément le cas ici) et
b) a des routes vers les sous-réseaux qui bénéficient du partage.

Dernière modification par raleur (15-10-2015 16:48:38)


Il vaut mieux montrer que raconter.

Hors ligne

Pied de page des forums