MNF et probleme entre les cartes réseaux

[superced]

Bonjour,
j'ai installer la MNF et pas moyen que ma zone lan accede au wan.

Je suis sur un sdsl, donc tres facile pour la connection du wan.
mes zones sont:
lan eth0 192.1.1.1
dmz eth1 192.1.2.1
wan eth2 192.1.3.1
routeur sdsl 192.1.3.10

Deja, si je fais un ping sur le net depuis la carte wan eth2 pas de probleme, mais depuis le lan impossible.
Si je ping depuis eth2 la carte qui se trouve sur eth0 rien ne répond.
ex: ping -I eth2 192.1.1.1

et de plus les regles pour entre le lan et le wan sont toutes ouverte.

bref je pense qu'il me manque quelque chose dans la config réseau.

merci

[Gandalf]

Salut, avant d'aller plus loin es-tu sûr de ta carte LAN ? Quels services as-tu activé sur le MNF ( proxy ? ). Quand tu ping le LAN depuis ta carte eth2 que raconte les logs dans ce cas ?

PS : c'est bien un MNF 8.2 ?

[superced]

Bonjour,
Tout d'abord je suis un super débutant sur linux, alors doucement avec les termes (ex:fichiers de log, je ne sais pas comment les consulter)

Se qui est sur c'est que quel que soit la carte reseau lan ou dmz cela me fait la même chose!

et je n'utilise pas de proxy!

Je rappel que pour la zone wan tout fonctionne correctement donc pas de probleme côté connection au net!

merci

[Gandalf]

Ok, tu ne réponds pas à toutes mes questionsn alors je suppose que c'est un MNF 8.2, et que ta connection au net est OK ( ce qui doit être vrai car ton ping -I eth(wan) www.xxx.fr fonctionne ).

Donc regardes ta configuration cliente : sur tes clients tu dois avoir en passerelle par défaut l'IP côté LAN du MNF, en DNS des adresses qui vont bien comme celles d'Oléane par ex ( 194.2.0.20 + 50 ). Pour que ces requêtes DNS traversent le MNF il faut vérifier si tu as les bonnes règles à savoir LAN--> WAN ACCEPT Port 53 UDP .

Si ça fonctionne tant mieux, si ce n'est pas le cas tu ouvres une session SSH avec putty sur ton MNF et tu regardes ce que te disent les logs, essentiellement dans /var/log/messages ! Un tail -f /var/log/messages te permet de voir en direct l'évolution du log et les éventuelles connexions rejetées ... ce qui peut t'aider à résoudre ton problème ...

@ + !

[coornelius]

bref je pense qu'il me manque quelque chose dans la config réseau.

As tu vérifié les règles de NAT ?

Tu doit avoir les 'classical masquerading' avec

règle 1 : eth2:0.0.0.0/0 subnet 192.1.1.0/24 ( pour l'accès du LAN sur le WAN)

et

règle 2 : eth2:0.0.0.0/0 subnet 192.1.2.0/24 ( pour l'accès de la DMZ sur le WAN)

Sans cela, pas possible pour MNF de faire suivre les paquets de retour vers le poste à l'origine de la demande.

Vérifie et dis nous si cela arrage ton problème.

[superced]

Dans quels fichiers faut-il faire des modifs?

merci

[Gandalf]

Un conseil ne t'amuses pas à trifouiller dans les fichiers si c'est un début, passe par la GUI elle est très bien faite ( onglet configuration du pare-feu ! )

[superced]

Je viens de refaire la machine sous redhat et shorewall,
et j'ai me même problème!
il me manque la notion de router les paquets entre les cartes réseau!
comment cela fonctionne t-il?

merci

[jdh]

Il est indispensable d'activer le "forward" des paquets entre interfaces.

Avec Shorewall (qui équipe MNF et Mandriva), le plus simples est "IP_FORWARDING=On" dans /etc/shorewall/shorewall.conf (et non "Keep").

Autre possibilité, un simple "cat 1 >/proc/sys/net/ipv4/ip_forward" fait l'affaire. (on peut même consulter la valeur du fichier pour savoir ce qu'il en est). A ajouter dans un script de démarrage au choix.

[Gandalf]

Ce qui m'étonne c'est que sous MNF l'IP_FORWARDING dans /etc/shorewall/shorewall.conf est sur ON par défaut ( çe qui me semble logique ! ), il n'y a pas besoin de post-config particulière, c'est pourquoi je pencherais pour un autre problème ( tu as testé tes cartes réseaux ? ).

@ +

[jdh]

J'ai du essayer une SNF il y a très longtemps !

Ce que j'écris est inspiré du paquet Shorewall pour Debian qui met l'IP_FORWARDING à Keep ce qui me semble une erreur. On est bien d'accord. C'est aussi pourquoi j'écris qu'il suffit de regarder si l'ip_forward est réellement fait.

Il est donc tout à fait clair que si la variable kernel est bien positionné (c'est celle là qui compte), et que si le routage ne se fait pas, c'est que OU il y a un pb dans les règles (fichier /etc/shorewall/rules ET /etc/shorewall/policy) OU il y a un pb dans les cartes réseaux.

Je suis donc d'accord avec Gandalf à l'exception qu'une panne hardware est (heureusement aujourd'hui en 2005) moins probable qu'un mauvais réglage de logiciel.

J'ajoutes que, quand on met au point un firewall avec Shorewall ou un simple script iptables, il faut toujours au moins tester ce qu'on a autorisé en vérifiant avec, par exemple, deux tout simples "tcpdump -ln -i eth? | tee xxxx" (un par interfaces bien sur).

[riad_djili]

Bonjour,
j'ai installer la MNF2 10.1 et la zone lan accede pas au wan:

j'ai donc 2 zone qui sont :

wan eth0 195.17.73.109
lan eth1 192.168.1.1

un ping de eth0 vert eth1 (ping -I eth0 eth1) sa pass normal
64 bytes from 195.17.73.200: icmp_seq=1 ttl=64 time=0.486 ms
64 bytes from 195.17.73.200: icmp_seq=2 ttl=64 time=0.265 ms
un ping de eth1 ver eth0 (ping eth1 eth0)sa passe pas
il m'affiche cet erreur:
From serv109. icmp_seq=4 Destination Host Unreachable

sur eth1 (lan) j'ai connecter un ordinateur (192.168.1.2)
un ping de cet machine ver 195.17.73.109 sa passe normal

m1# ping 195.17.73.109
PING 195.17.73.109 (195.17.73.109) 56(84) bytes of data.
64 bytes from 195.17.73.109: icmp_seq=1 ttl=64 time=0.349 ms
64 bytes from 195.17.73.109: icmp_seq=2 ttl=64 time=0.253 ms
64 bytes from 195.17.73.109: icmp_seq=3 ttl=64 time=0.262 ms

et j'ai met cet configuration :


pour l'accès a internet
.Lan or Cable Configuration
Internet Interface
eth0
IP Address 195.17.73.109
Subnet Mask 255.255.255.0
Default Gateway 195.17.73.3
Boot Protocol static
Activate on each Boot yes
DHCP Client /sbin/dhcpcd
DHCP Hostname



et pour la résolution d'adresse j'ai met:
Masq NAT >


.Masquerading Configuration

Classical IP Masquerading, Static NAT, and server Proxy for ARP address

------
Classical Masquerading:
Add Masq

Interface Subnet SNAT
1 eth0:0.0.0.0/0 192.168.1.0/24
2 eth0:0.0.0.0/0 192.168.1.1

------
.Static NAT Configuration
Static NAT:
Add NAT

Public IP Interface Internal IP All Hosts Local
1 195.17.73.109 eth1 192.168.1.1 Yes Yes

------
.ProxyARP Configuration
Proxy ARP rules:
Add Proxy ARP rule

Empty list...



Default Policies >


.Default Policies Configuration

Policies configuration establish overall Firewall Policy.

Policies are like default rules for connections between zones.

Connection establishment is described in terms of:

* Clients who initiate connections

* and Servers who receive those connection requests

------
View Policies filtered on:

Client


Server




Add Policy

Client Zone Server Zone Policy Log Level
1 wan lan ACCEPT
2 lan wan ACCEPT





.Rules Configuration

Rules configuration is used to express firewall rules that are exceptions to the high-level policies established in Default Policies

------
View Rules filtered on:

Client


Server


Port



pour les règle j'ai met:
Add Simple Rule
Add Custom Rule

Result Client Zone Server Zone Protocol Port(s) Commentary Status
1 ACCEPT lan wan all 0:65535 lan_man enabled
donc les regles pour entre le lan et le wan sont toutes ouverte.


merci d'avance et bonne journée

[Gandalf]

Salut, dis moi c'est un peu le cirque dans ton post, tu as copié/collé des parties du GUI et c'est le bronx ! Mais du peu que je déchiffre, si je comprend bien, tu as ton MNF avant un autre routeur qui lui sort sur le net, et tes clients du LAN n'arrivent pas à aller sur le net ? Si j'ai tout faux dis le moi !
Pour le masquage il suffit de masquer eth1 par eth0, ça suffit !

[JAKI]

salut tout le monde

ca fait une semaine que j'essai de confugurer mon MNF j'arive pas a me connecter au net

mon reseau et le suivent

ligne telephone
|
|
routeur (ovicelink) (192.168.1.1 comme passrelle)
|
|
eth0 (192.168.1.2)
|
fw (ma mnf)
|
eth1(10.10.10.1)
|
|
switch
|
pc1(10.10.10.2)

le probleme que j'arive pas a me connect au wan .svp si quelqu'un peu me dire comment faire c'est trés urgent

merci d'avance