[ RESOLU ] Newbie MNF2 n'arrive pas à surfer

[Lester]

Bonjour,

Je viens de découvrir MNF2 (merci Gandalf ) mais je nage un peut.

Mon probleme c'est que tout a l'air de bien se passer mais des que je veux surfer tout est bloqué par le firewall.

Si j'ai bien compris, les default policies bloque tous et les rules font des exeptions aux polices ?

voire les screenshoot plus-bas mais voila ce que je trouve dans /var/log/message :

Lors de la demande de www.google.fr dans IE ( vi il ne veut pas laisser passer le DNS )

Jul 2 20:24:35 mnf2 kernel: Shorewall:FORWARD:REJECT:IN=eth3 OUT=ppp0 SRC=10.66.0.201 DST=194.117.200.10 LEN=59 TOS=0x00 PREC=0x00 TTL=127 ID=54497 PROTO=UDP SPT=1102 DPT=53 LEN=39
Jul 2 20:24:39 mnf2 kernel: Shorewall:FORWARD:REJECT:IN=eth3 OUT=ppp0 SRC=10.66.0.201 DST=194.117.200.10 LEN=59 TOS=0x00 PREC=0x00 TTL=127 ID=54501 PROTO=UDP SPT=1102 DPT=53 LEN=39

Config:
Eth0: Wan en PPPOE
Eth1: DMZ1 192.168.254.254/24
Eth2: DMZ2 192.168.255.254/24
Eth3: LAN 10.66.0.250/24

J'ai du surement faire une ENORME boulette mais après 2 nuits dessus je ne voie pas.






Tous n'est pas remplie ( bizarre! ) j'ai effectue la correction du PPPOE via le post de ludodo
http://forums.fr.ixus.net/viewtopic.php?t=34124

Un ifconfig me donne bien toutes mes interfaces et PPP et bien présent avec ma wan IP qui d'ailleur se mes bien dans le tableau avec les lampes verte et rouge










Une idée ?

Merci de vos réponses[/img]

[jdh]

- Le log montre qu'un PC du réseau essaie d'accéder à un serveur DNS et que cela est refusé. Je peux supposer que MNF peut être cache DNS, donc le PC devrait être configuré avec MNF comme serveur DNS. Cel me semble normal plutot que d'autoriser tous les PC interne à multiplier les requetes direct vers Internet. (à noter que les Windows font des requetes DNS en utilisant tcp alors que la norme est udp).

- Bien sur une "policy" est le réglage par défaut et les "rules" (règles) constitue une dérogation. En principe on "drop" par défaut et on ajoute ce qui est explicitement autorisé. Ici il serait meilleur d'utiliser des "drop" et non des "reject".

- An niveau des interfaces, je suppose que "wan" désigne Internet et devrait donc être "ppp0" (et non eth3). De plus il y a une zone appelé "wifi" qui ne correspond à rien et une interface "dmz2" de même.

L'erreur sur "wan" (=ppp0) devrait corriger bien des choses.

(qu'est ce que c'est que http sur udp ? règle 27)

[Lester]

Merci jdh pour tes réponses.

En effet le remplacement de eth3 par PPP+ à resoud bien des choses mais j'ai surtout suprimé la mnf2 que j'avais dll autre part ( le fichier version etait plus recent ) pour celle de J-J auquel je fais un
E N O R M E M E R C I

enfin oui tu as compris sa marche ( 3 nuit )) ... )

Pour ce qui est de la zone zone wifi , deleted
Pour la zone DMZ2, non surtout pas , c'est la raison qui me fait venir et abandonner lachement mon ipcop qui ma rendu de bon et loyau service.

J'ai imperativement besoin d'une DMZ2 pour la téléphonie sur via MGCP et l'ipcop ne laisse pas passer quelque chose qui fait que cela fonctionne mais je n'ai pas de son ( dur pour de la telephonie ! )

Donc une zone DMZ tres restrictive pour mes serveurs et une autre tres "laxiste" juste pour la *#§*#§ Club-internetBox !!!

Adieu double NAT, bonjour mes vpn et je taff de chez moi tous l'été.

Encore merci à J-J qui nous a trouvé une MNF en Fr avec tous les scripts ADSL non buggés.

++

PS: La règle 27, arf, sait on jamais avec microsoft faut s'attendre à tout )