Aide configuration réseau local / masquerade / Nat / réglages iptables

Jarlaxe · 23-02-2011 11:32:42

Bonjour à tous,
Je tourne une debian sur un eeepc 1000he depuis 2008, actuellement 2.6.32/lxde. Il y a des aspects sur lesquels je tiens, d'autres où je suis plutôt novice comme en réseau. Par exemple :

Pour me connecter, j'utilise un 701 (sous FreeBSD) comme d'un Gateway connecté à une box en WiFi , le 1000he venant se connecter au 701 en RJ45. (On est plusieurs connectés sur la box, chacun avec son tit réseau - petite résidence -, j'en suis l'admin.)

Modèle 1:
[@]======[box]-----------< [pcA]
net box ----< [pcB]
----< [PCD]===========[PC1]
(gate) (terminal)
701 1000he

(=== : filaire; ---< : WiFi)

Pour connecter, j'utilise cette méthode:

701     : # ifconfig eth0 192.168.111.1

1000he  : # ifconfig eth0 192.168.111.2

          # route add default gw 192.168.111.1

701     : # sysctl -w net.ipv4.ip_forward=1

          # iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.111.2

Or, cette méthode est un peu pénible à mettre en place car je dois la répéter à chaque fois que je me déplace (emportant le 1000he avec moi)

A côté de ça, j'ai un petit routeur qui traine. Je souhaite donc faire ceci qui aurait plus de sens:
Modèle 2
[@]======[box]-----------< [pcA]
net box -----< [pcB]
-----< [PCC]======[Router]-------<[PC1]
(gate) Dl523up (terminal)
701 1000he

Seulement, j'ai beau retourner les "formules" d'iptables dans tous les sens, tentant plein d'options différentes... je me retrouve à chaque fois à faire un reset sur le routeur (j'ai d'ailleurs peur qu'il ne le supporte pas trop à force).
Quand je tente de revenir au modèle 1er du réseau, il devient impossible de le réactiver sans avoir à tout réinitialiser.
(et forcément, ça arrive TOUJOURS au moment où il faut pas, genre un Conseil d'Admin qui m'attend pour une visio alors que je m'arrache les cheveux avec la connexion ... snif ! certains doivent connaître ce sentiment, n'est ce pas !)

Bref, un coup de main serait le bienvenu.

Dernière modification par Jarlaxe (12-04-2011 17:56:10)

MaTTuX_ · 23-02-2011 17:13:23

Salut,

La creation d'un bon firewall/routeur n'est pas à prendre a la légère, mais on va t'aider.
Ce que tu dois respecter (c'est mon opinion), travailler avec un fichier bash ou tu vas ranger tes régles.

1--> Je nettoie les régles et les chaines
2--> Je définie les régles de sécurités, OUVERT a tous par défaut ou non
3 --> Et ensuite tes régles

Comme ça à chaque fois que tu reexecute le fichier tu repartiras sur des trucs propres.
Ce que tu peux faire c est faire un dessin de ton réseau avec les ips de chaque et ce que tu dois faire par exemple : partager internet, redirigé le port 80 sur le serveur, le port 22 sur ton netbook etc...
Avant de te lancer comme ca sur ton fw, essaye de bien comprendre la base : genre INPUT, OUTPUT, FORWARD et NAT, une fois que tu connais bien ce que sa fait tu feras ton fw comme tu lis un livre.

Le meilleurs tuto pour commencer, je sais saymal de dire ça, mais le man je fais confiance qu'au man.

Commence ton firewall avec ce que j ai dit et on t'aidera

MaTTuX_

anonyme · 24-02-2011 00:52:40

Bonsoir,

Pour connecter, j'utilise cette méthode:
701 : # ifconfig eth0 192.168.111.1
1000he : # ifconfig eth0 192.168.111.2
# route add default gw 192.168.111.1
701 : # sysctl -w net.ipv4.ip_forward=1
# iptables -t nat -A POSTROUTING -j MASQUERADE -s 192.168.111.2

Or, cette méthode est un peu pénible à mettre en place car je dois la répéter à chaque fois que je me déplace (emportant le 1000he avec moi)

Ce qui concerne le 701 doit pouvoir être laissé en place en permanence, non?

Concernant le 1000he, si ce qui te gène est de devoir reconfigurer ton interface réseau, tu dois pouvoir trouver ton bonheur du côté de guessnet (ou autres progs de reconfiguration automatique), ou simplement en créant plusieurs fichiers interfaces* avec un fichier par config (connexion) et un symlink nommé interfaces pointant sur le bon fichier.

Dans tous les cas, l'utilisation de scripts dans lesquels on met l'ensemble des commandes (iptables ou autres) utiles à l'exécution d'une tâche ou à une reconfiguration est une solution à envisager, comme alternative aux multiples commandes à retaper à chaque fois.
Reste ensuite à lancer le script par une méthode adaptée au besoin; cron, inclusion dans un fichier existant (option pre-up post-up pre-down et post-down dans interfaces - adapté pour la config réseau) ou lancé à l'init.

Edit: plus simple pour reconfigurer une machine:
Dans le même fichier interfaces, déclarer plusieurs config pour un interface réseau ainsi (paramètres numériques à adapter bien sûr):

iface eth0 inet static
address 192.168.1.200
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.1.1
post-up /root/fw_darkstar

iface eth0:1 inet static
address 172.16.1.1
netmask 255.255.0.0
network 172.16.0.0
broadcast 172.16.255.255
# gateway 172.16.254.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 172.16.254.254

Il ne reste qu'à passer d'un réseau à l'autre avec ifdown et ifup.
Ça nécessite l'installation du paquet resolvconf pour la gestion automatique des dns.

On peut remarquer dans la première config l'utilisation de l'option post-up pour installer le parefeu (ensemble de commandes iptables regroupées dans un script).

@+

Dernière modification par anonyme (24-02-2011 01:26:35)

Jarlaxe · 12-04-2011 17:54:08

Bonjour! Me voici de retour sur ce sujet des masquerade.

J'ai en fait déjà lu des man, articles de netfilter.org, différents wiki ...mais je galère avec les réseaux : je ne comprendsrien de ce que je fais. En outre, je soupçonne mon matériel de me jouer des tours : le terminal que je veux connecter en bout de LAN, un 1000He, est équipé d'une RaLink qui m'a déjà fait voir de toutes les couleurs lorsque je réglais la connexion wifi.

J'ai suivi ce tuto (parmi plein d'autres tentatives) qui me seblait assez simple : http://www.debian-administration.org/articles/23

bien sûr, j'ai adapté les noms des péeiphériques à mon matériel, un coup de chown et chmod pour régler ça, et bien placé dans /etc/network/if-up.d/.

Je tente alors 2 méthodes : soit je connecte le 1000He (terminal) au 701 (le gateway), soit je place entre un routeur (Dl523j que je me demande si je l'ai pas trop malmené à coup de reset intempestifs dans mes crises de nerfs - fréquentes face à ça -)

Une fois connecté, le 701 connecté au net, je fais un coup de ifdown eth0 et ifup eth0 sur le 1000He, rien ne se passe (pas de connexion).

Je retente de passer à ma méthode préliminaire (avec les 4 petites lignes manuelles), mais plus de connexion possible. Je reboot, et reboot encore, rien n'y fait.

Donc, Tux12, le 701 serait dans l'idée d'être laissé en permanence, oui, servant d'ouverture à une LAN via un routeur, pour des terminaux mobiles (genre 2 ou 3 portables d'invités). Ensuite l'idée d'utiliser des scripts va bien dans le sens du tuto que j'ai suivi.
Et MaTTuX, vive les man ... quand on les comprends ! ^^ c'est assurément la meilleure source, mais je peine à suivre.
Pour comprendre la situation, je ne suis pas vraiment un passioné d'informatique, mais connaît l'enjeu d'un système libre face à du Win*, ai peu de temps à y consacrer, et ma fois m'énerve assez (très) vite quand ça ne marche pas, générant beaucoup de stress (sûrement que j'envoie des ondes qui paralysent mon LAN ^^)
Au final, je suis souvent face à des situations qui s'enlisent pendant des mois.
Donc à vous les studios, une quelconque idée, avec ce tuto ?

phelp · 27-05-2011 12:43:51

Bonjour à tous!!

Je ne sais pas si je vous embête mais j'aimerais savoir si quelqu'un peu m'aider ci-dessous.

Voila j'aimerais utiliser Debian comme serveur et mon but c de limiter les bandes passantes des autres machines connectées avec par contre je suis encore novice sous Debian et comment pourrais-je faire même la configuration des mes deux cartes réseaux??? j'ai fais manuellement comme XP les IP, DNS mais j'arrive pas à partager comment faire s'il vous plaît ????

Et les gens me conseil d'utiliser le Squid mais comment faire par contre ce dernier j'ai fais installé avec les CD

smolski · 27-05-2011 12:55:59

Salut phelp et bienvenue sur df !

Euh, il est suffisant de mettre un seul post pour le même sujet, et surtout de ne pas bernacler un post d'une autre personne, même sur un sujet similaire.

Nous te laissons remettre de l'ordre dans tout ça, laisse un seul post nouveau et supprime tous les autres, y compris celui qui est ici, c'est plus poli sur un même forum.

Cool, ça va le faire.

cthuluh · 27-05-2011 13:13:15

Tu as une interface qui va faire transiter les paquets vers internet (admettons que ce soit eth1).
et une interface qui va te servir pour ton réseau local (eth0).

Ton interface eth0 tu vas devoir la configurer en statique :

# /etc/network/interfaces

...

auto eth0

iface eth0 inet static

   address ...

   netmask ...

eth1, ça dépend. On ne connaît pas ta config.
Quoiqu'il en soit, tu auras besoin que eth1 soit la route par défaut
sur le serveur / gateway.

Le serveur / gateway doit avoir

# /etc/sysctl.conf

...

net.ipv4.ip_forward=1

...

pour pouvoir laisser passer les paquets.
Ensuite, un peu de nat :

# eth1 a une adresse dynamique

iptables -t nat -A POSTROUTING -o eth1 -s "$réseau_eth0" -j MASQUERADE

# eth1 a une adresse statique

iptables -t nat -A POSTROUTING -o eth1 -s "$réseau_eth0" -j SNAT --to-source "$ip_eth1"

Ce qu'il te reste à faire, c'est installer un serveur dhcp, le configurer
et le faire écouter sur eth0.

phelp · 27-05-2011 14:06:49

Merci pour l'astuce j'étuderais alors par contre je vous donne mes interfaces:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

iface eth0 inet static
address 192.168.200.219
netmask 255.255.255.0
gateway 192.168.200.200

auto eth0

iface eth1 inet static
address 192.168.125.45
netmask 255.255.255.0

auto eth1

Debian-facile

#1 23-02-2011 11:32:42

Aide configuration réseau local / masquerade / Nat / réglages iptables

#2 23-02-2011 17:13:23

Re : Aide configuration réseau local / masquerade / Nat / réglages iptables

#3 24-02-2011 00:52:40

Re : Aide configuration réseau local / masquerade / Nat / réglages iptables

#4 12-04-2011 17:54:08

Re : Aide configuration réseau local / masquerade / Nat / réglages iptables

#5 27-05-2011 12:43:51

Re : Aide configuration réseau local / masquerade / Nat / réglages iptables

#6 27-05-2011 12:55:59

Re : Aide configuration réseau local / masquerade / Nat / réglages iptables

#7 27-05-2011 13:13:15

Re : Aide configuration réseau local / masquerade / Nat / réglages iptables

#8 27-05-2011 14:06:49

Re : Aide configuration réseau local / masquerade / Nat / réglages iptables

Pied de page des forums