Bonjour la liste,
Deux cartes ethernet : eth0 reliée à la livebox et eth1 reliée au r éseau
interne. L'interface eth0 a une adresse interne 192.168.1.20 et eth1
192.168.2.20, le réseau interne étant 192.168.2.0/24.
Le problème est que depuis la passerelle je peux pinger la livebox,
accéder au net, faire fonctionner le serveur web mais ne peut pinger
aucune des deux cartes ni même "localhost" :
même résultats pour eth0 et eth1. Et ceci *avec* ou *sans* règles
netfilter. Sans règles je ne peux même plus pinger la livebox. J'obt iens
alors le même message (ping: sendmsg: Operation not permitted)
Où ai-je fait une erreur ? je fais du SNAT à la place du masquerade c ar
l'ip est fixe sur le (pre)routeur avant la livebox mais en activant le
masquerading plutôt que le SNAT j'observe le meme comportement...
Et le fait d'avoir cette interdiction de pinger toute interface
netfilter actif ou pas me fait penser à une erreur de configuration
réseau mais là...je ne vois pas...
Merci de vos lumières.
Bonjour la liste,
Deux cartes ethernet : eth0 reliée à la livebox et eth1 reliée au r éseau
interne. L'interface eth0 a une adresse interne 192.168.1.20 et eth1
192.168.2.20, le réseau interne étant 192.168.2.0/24.
Le problème est que depuis la passerelle je peux pinger la livebox,
accéder au net, faire fonctionner le serveur web mais ne peut pinger
aucune des deux cartes ni même "localhost" :
même résultats pour eth0 et eth1. Et ceci *avec* ou *sans* règles
netfilter. Sans règles je ne peux même plus pinger la livebox. J'obt iens
alors le même message (ping: sendmsg: Operation not permitted)
Où ai-je fait une erreur ? je fais du SNAT à la place du masquerade c ar
l'ip est fixe sur le (pre)routeur avant la livebox mais en activant le
masquerading plutôt que le SNAT j'observe le meme comportement...
Et le fait d'avoir cette interdiction de pinger toute interface
netfilter actif ou pas me fait penser à une erreur de configuration
réseau mais là...je ne vois pas...
Merci de vos lumières.
Bonjour la liste,
Deux cartes ethernet : eth0 reliée à la livebox et eth1 reliée au r éseau
interne. L'interface eth0 a une adresse interne 192.168.1.20 et eth1
192.168.2.20, le réseau interne étant 192.168.2.0/24.
Le problème est que depuis la passerelle je peux pinger la livebox,
accéder au net, faire fonctionner le serveur web mais ne peut pinger
aucune des deux cartes ni même "localhost" :
même résultats pour eth0 et eth1. Et ceci *avec* ou *sans* règles
netfilter. Sans règles je ne peux même plus pinger la livebox. J'obt iens
alors le même message (ping: sendmsg: Operation not permitted)
Où ai-je fait une erreur ? je fais du SNAT à la place du masquerade c ar
l'ip est fixe sur le (pre)routeur avant la livebox mais en activant le
masquerading plutôt que le SNAT j'observe le meme comportement...
Et le fait d'avoir cette interdiction de pinger toute interface
netfilter actif ou pas me fait penser à une erreur de configuration
réseau mais là...je ne vois pas...
Merci de vos lumières.
Le problème est que depuis la passerelle je peux pinger la livebox,
accéder au net, faire fonctionner le serveur web mais ne peut pinger
aucune des deux cartes ni même "localhost" :
PING localhost.localdomain (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
...
3 packets transmitted, 0 received, 100% packet loss, time 2009ms
même résultats pour eth0 et eth1. Et ceci *avec* ou *sans* règles netfilter.
Sans règles je ne peux même plus pinger la livebox. J'obtiens alors le
même message (ping: sendmsg: Operation not permitted)
Du réseau interne je ne peux pinger la machine "m64" et encore moins la
livebox. Mais ces machines obtiennent tout de même leur adresse IP grâce
au dhcpd de la machine "m64" (elles ont une adresse IP fixe) !!!
iptables-save :
*filter
:INPUT DROP [14:1884]
:FORWARD DROP [0:0]
:OUTPUT DROP [17:1955]
-A INPUT -i ! eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
(*)-A FORWARD -i eth1 -o eth0 -m state --state
NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
A noter que le "UNTRACKED" de la règle (*) n'est pas de moi et semble
rajouté par netfilter.
Le problème est que depuis la passerelle je peux pinger la livebox,
accéder au net, faire fonctionner le serveur web mais ne peut pinger
aucune des deux cartes ni même "localhost" :
PING localhost.localdomain (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
...
3 packets transmitted, 0 received, 100% packet loss, time 2009ms
même résultats pour eth0 et eth1. Et ceci *avec* ou *sans* règles netfilter.
Sans règles je ne peux même plus pinger la livebox. J'obtiens alors le
même message (ping: sendmsg: Operation not permitted)
Du réseau interne je ne peux pinger la machine "m64" et encore moins la
livebox. Mais ces machines obtiennent tout de même leur adresse IP grâce
au dhcpd de la machine "m64" (elles ont une adresse IP fixe) !!!
iptables-save :
*filter
:INPUT DROP [14:1884]
:FORWARD DROP [0:0]
:OUTPUT DROP [17:1955]
-A INPUT -i ! eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
(*)-A FORWARD -i eth1 -o eth0 -m state --state
NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
A noter que le "UNTRACKED" de la règle (*) n'est pas de moi et semble
rajouté par netfilter.
Le problème est que depuis la passerelle je peux pinger la livebox,
accéder au net, faire fonctionner le serveur web mais ne peut pinger
aucune des deux cartes ni même "localhost" :
PING localhost.localdomain (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
...
3 packets transmitted, 0 received, 100% packet loss, time 2009ms
même résultats pour eth0 et eth1. Et ceci *avec* ou *sans* règles netfilter.
Sans règles je ne peux même plus pinger la livebox. J'obtiens alors le
même message (ping: sendmsg: Operation not permitted)
Du réseau interne je ne peux pinger la machine "m64" et encore moins la
livebox. Mais ces machines obtiennent tout de même leur adresse IP grâce
au dhcpd de la machine "m64" (elles ont une adresse IP fixe) !!!
iptables-save :
*filter
:INPUT DROP [14:1884]
:FORWARD DROP [0:0]
:OUTPUT DROP [17:1955]
-A INPUT -i ! eth0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
(*)-A FORWARD -i eth1 -o eth0 -m state --state
NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
A noter que le "UNTRACKED" de la règle (*) n'est pas de moi et semble
rajouté par netfilter.
Que donne un "echo /proc/sys/net/ipv4/ip_forward" ?
Le SNAT est fait pour permettre l'utilisation d'un pool (groupe?) d'IPs par
le routeur, le masquerading peut être vu comme le cas particulier ou le
pool est réduit à une seule IP, celle du routeur.
Personnellement, je trouve difficilement compréhensible et trompeuse la
sortie de iptables -L ou de iptables-save.
La liste des commandes iptables lancées me serait plus parlante.
Que donne un "echo /proc/sys/net/ipv4/ip_forward" ?
Le SNAT est fait pour permettre l'utilisation d'un pool (groupe?) d'IPs par
le routeur, le masquerading peut être vu comme le cas particulier ou le
pool est réduit à une seule IP, celle du routeur.
Personnellement, je trouve difficilement compréhensible et trompeuse la
sortie de iptables -L ou de iptables-save.
La liste des commandes iptables lancées me serait plus parlante.
Que donne un "echo /proc/sys/net/ipv4/ip_forward" ?
Le SNAT est fait pour permettre l'utilisation d'un pool (groupe?) d'IPs par
le routeur, le masquerading peut être vu comme le cas particulier ou le
pool est réduit à une seule IP, celle du routeur.
Personnellement, je trouve difficilement compréhensible et trompeuse la
sortie de iptables -L ou de iptables-save.
La liste des commandes iptables lancées me serait plus parlante.
Salut,
Un hôte ne pingue pas une interface réseau, et encore moins les siennes
(s'il envoie un ping destiné à lui-même par une de ses interfaces vers
l'extérieur, comment diable espère-t-il obtenir une réponse). Il pingue
une adresse IP. Ce qui est parfois mal compris est qu'un paquet envoyé
par un hôte à une des ses adresses locales, quelle que soit l'interface
à laquelle cette adresse est affectée, passe par l'interface de loopback
"lo". Par conséquent, il faut que lo soit activée et configurée et que
les paquets soient autorisés en entrée et en sortie sur celle-ci.
PING localhost.localdomain (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
...
3 packets transmitted, 0 received, 100% packet loss, time 2009ms
même résultats pour eth0 et eth1. Et ceci *avec* ou *sans* règles
netfilter.
L'interface lo est-elle activée et configurée (ifconfig) ?
Le trafic en INPUT et OUTPUT sur lo est-il autorisé par iptables ?
Sans règles je ne peux même plus pinger la livebox. J'obtiens alors le
même message (ping: sendmsg: Operation not permitted)
Que veut dire "sans règles" exactement ? Quelles sont les politiques par
défaut dans ce cas ? Si elles sont à DROP, alors forcément sans règle
rien ne passe.
Du réseau interne je ne peux pinger la machine "m64" et encore moins la
livebox. Mais ces machines obtiennent tout de même leur adresse IP grâce
au dhcpd de la machine "m64" (elles ont une adresse IP fixe) !!!
Il est possible que le démon DHCP utilise un accès réseau de bas niveau
et court-circuite ainsi le routage IP normal et iptables.
iptables-save :
[...]*filter
:INPUT DROP [14:1884]
:FORWARD DROP [0:0]
:OUTPUT DROP [17:1955]
Si ça reste comme ça sans règles, rien ne passera.-A INPUT -i ! eth0 -j ACCEPT
Dangeureux. Il vaut mieux lister explicitement les interfaces que l'on
veut prendre en compte plutôt que le contraire avec une inversion.
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
(*)-A FORWARD -i eth1 -o eth0 -m state --state
NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
Je ne vois pas de règle autorisant le trafic sur lo en sortie.A noter que le "UNTRACKED" de la règle (*) n'est pas de moi et semble
rajouté par netfilter.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Encore une fois, il vaut mieux lister explicitement les états qu'on
souhaite prendre en compte plutôt que le contraire avec une inversion.
Salut,
Un hôte ne pingue pas une interface réseau, et encore moins les siennes
(s'il envoie un ping destiné à lui-même par une de ses interfaces vers
l'extérieur, comment diable espère-t-il obtenir une réponse). Il pingue
une adresse IP. Ce qui est parfois mal compris est qu'un paquet envoyé
par un hôte à une des ses adresses locales, quelle que soit l'interface
à laquelle cette adresse est affectée, passe par l'interface de loopback
"lo". Par conséquent, il faut que lo soit activée et configurée et que
les paquets soient autorisés en entrée et en sortie sur celle-ci.
PING localhost.localdomain (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
...
3 packets transmitted, 0 received, 100% packet loss, time 2009ms
même résultats pour eth0 et eth1. Et ceci *avec* ou *sans* règles
netfilter.
L'interface lo est-elle activée et configurée (ifconfig) ?
Le trafic en INPUT et OUTPUT sur lo est-il autorisé par iptables ?
Sans règles je ne peux même plus pinger la livebox. J'obtiens alors le
même message (ping: sendmsg: Operation not permitted)
Que veut dire "sans règles" exactement ? Quelles sont les politiques par
défaut dans ce cas ? Si elles sont à DROP, alors forcément sans règle
rien ne passe.
Du réseau interne je ne peux pinger la machine "m64" et encore moins la
livebox. Mais ces machines obtiennent tout de même leur adresse IP grâce
au dhcpd de la machine "m64" (elles ont une adresse IP fixe) !!!
Il est possible que le démon DHCP utilise un accès réseau de bas niveau
et court-circuite ainsi le routage IP normal et iptables.
iptables-save :
[...]
*filter
:INPUT DROP [14:1884]
:FORWARD DROP [0:0]
:OUTPUT DROP [17:1955]
Si ça reste comme ça sans règles, rien ne passera.
-A INPUT -i ! eth0 -j ACCEPT
Dangeureux. Il vaut mieux lister explicitement les interfaces que l'on
veut prendre en compte plutôt que le contraire avec une inversion.
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
(*)-A FORWARD -i eth1 -o eth0 -m state --state
NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
Je ne vois pas de règle autorisant le trafic sur lo en sortie.
A noter que le "UNTRACKED" de la règle (*) n'est pas de moi et semble
rajouté par netfilter.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Encore une fois, il vaut mieux lister explicitement les états qu'on
souhaite prendre en compte plutôt que le contraire avec une inversion.
Salut,
Un hôte ne pingue pas une interface réseau, et encore moins les siennes
(s'il envoie un ping destiné à lui-même par une de ses interfaces vers
l'extérieur, comment diable espère-t-il obtenir une réponse). Il pingue
une adresse IP. Ce qui est parfois mal compris est qu'un paquet envoyé
par un hôte à une des ses adresses locales, quelle que soit l'interface
à laquelle cette adresse est affectée, passe par l'interface de loopback
"lo". Par conséquent, il faut que lo soit activée et configurée et que
les paquets soient autorisés en entrée et en sortie sur celle-ci.
PING localhost.localdomain (127.0.0.1) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
...
3 packets transmitted, 0 received, 100% packet loss, time 2009ms
même résultats pour eth0 et eth1. Et ceci *avec* ou *sans* règles
netfilter.
L'interface lo est-elle activée et configurée (ifconfig) ?
Le trafic en INPUT et OUTPUT sur lo est-il autorisé par iptables ?
Sans règles je ne peux même plus pinger la livebox. J'obtiens alors le
même message (ping: sendmsg: Operation not permitted)
Que veut dire "sans règles" exactement ? Quelles sont les politiques par
défaut dans ce cas ? Si elles sont à DROP, alors forcément sans règle
rien ne passe.
Du réseau interne je ne peux pinger la machine "m64" et encore moins la
livebox. Mais ces machines obtiennent tout de même leur adresse IP grâce
au dhcpd de la machine "m64" (elles ont une adresse IP fixe) !!!
Il est possible que le démon DHCP utilise un accès réseau de bas niveau
et court-circuite ainsi le routage IP normal et iptables.
iptables-save :
[...]*filter
:INPUT DROP [14:1884]
:FORWARD DROP [0:0]
:OUTPUT DROP [17:1955]
Si ça reste comme ça sans règles, rien ne passera.-A INPUT -i ! eth0 -j ACCEPT
Dangeureux. Il vaut mieux lister explicitement les interfaces que l'on
veut prendre en compte plutôt que le contraire avec une inversion.
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
(*)-A FORWARD -i eth1 -o eth0 -m state --state
NEW,RELATED,ESTABLISHED,UNTRACKED -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
Je ne vois pas de règle autorisant le trafic sur lo en sortie.A noter que le "UNTRACKED" de la règle (*) n'est pas de moi et semble
rajouté par netfilter.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Encore une fois, il vaut mieux lister explicitement les états qu'on
souhaite prendre en compte plutôt que le contraire avec une inversion.
Oui oui ....je me suis très mal exprimé. Je parlais en fait de ping sur
les adresses des deux cartes ethernet. Je ne savais pas que tout passait
par lo.
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Ce qui laisse penser que "lo" est active.
Par "sans règle" j'entendais à la suite de :
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -t nat -F
Je ne vois pas de règle autorisant le trafic sur lo en sortie.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Bien vu !
-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
Oui oui ....je me suis très mal exprimé. Je parlais en fait de ping sur
les adresses des deux cartes ethernet. Je ne savais pas que tout passait
par lo.
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Ce qui laisse penser que "lo" est active.
Par "sans règle" j'entendais à la suite de :
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -t nat -F
Je ne vois pas de règle autorisant le trafic sur lo en sortie.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Bien vu !
-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
Oui oui ....je me suis très mal exprimé. Je parlais en fait de ping sur
les adresses des deux cartes ethernet. Je ne savais pas que tout passait
par lo.
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Ce qui laisse penser que "lo" est active.
Par "sans règle" j'entendais à la suite de :
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -t nat -F
Je ne vois pas de règle autorisant le trafic sur lo en sortie.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Bien vu !
-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
Serge Cavailles a écrit :
> Que donne un "echo /proc/sys/net/ipv4/ip_forward" ?
Bonne idée de vérifier ce réglage, mais il ne peut affecter que les
communication entre les postes du réseau interne et la Livebox ou le
reste du monde. Il n'a aucun effet sur les communication entre la
passerelle et les postes du réseau interne.
Du réseau interne je ne peux pinger la machine "m64" et encore moins la
livebox.
Non, MASQUERADE est bien plus qu'un cas particulier de SNAT
Il est donc particulièrement utile quand cette adresse est dynamique,
non connue à l'avance et susceptible de changer.
> Personnellement, je trouve difficilement compréhensible et trompeuse la
> sortie de iptables -L ou de iptables-save.
Je suis d'accord concernant iptables -L, surtout si on omet l'option -v
car cela cache certaines options capitales. Par contre j'aime bien le
format de sortie d'iptables-save très proche de la syntaxe des règles
iptables, malgré parfois quelques bugs d'affichage comme des "!"
(inversions) manquants.
Serge Cavailles a écrit :
> Que donne un "echo /proc/sys/net/ipv4/ip_forward" ?
Bonne idée de vérifier ce réglage, mais il ne peut affecter que les
communication entre les postes du réseau interne et la Livebox ou le
reste du monde. Il n'a aucun effet sur les communication entre la
passerelle et les postes du réseau interne.
Du réseau interne je ne peux pinger la machine "m64" et encore moins la
livebox.
Non, MASQUERADE est bien plus qu'un cas particulier de SNAT
Il est donc particulièrement utile quand cette adresse est dynamique,
non connue à l'avance et susceptible de changer.
> Personnellement, je trouve difficilement compréhensible et trompeuse la
> sortie de iptables -L ou de iptables-save.
Je suis d'accord concernant iptables -L, surtout si on omet l'option -v
car cela cache certaines options capitales. Par contre j'aime bien le
format de sortie d'iptables-save très proche de la syntaxe des règles
iptables, malgré parfois quelques bugs d'affichage comme des "!"
(inversions) manquants.
Serge Cavailles a écrit :
> Que donne un "echo /proc/sys/net/ipv4/ip_forward" ?
Bonne idée de vérifier ce réglage, mais il ne peut affecter que les
communication entre les postes du réseau interne et la Livebox ou le
reste du monde. Il n'a aucun effet sur les communication entre la
passerelle et les postes du réseau interne.
Du réseau interne je ne peux pinger la machine "m64" et encore moins la
livebox.
Non, MASQUERADE est bien plus qu'un cas particulier de SNAT
Il est donc particulièrement utile quand cette adresse est dynamique,
non connue à l'avance et susceptible de changer.
> Personnellement, je trouve difficilement compréhensible et trompeuse la
> sortie de iptables -L ou de iptables-save.
Je suis d'accord concernant iptables -L, surtout si on omet l'option -v
car cela cache certaines options capitales. Par contre j'aime bien le
format de sortie d'iptables-save très proche de la syntaxe des règles
iptables, malgré parfois quelques bugs d'affichage comme des "!"
(inversions) manquants.
Oui oui ....je me suis très mal exprimé. Je parlais en fait de ping sur
les adresses des deux cartes ethernet. Je ne savais pas que tout passait
par lo.
Quand je disais que ce point était souvent mal compris. ;-)
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Ce qui laisse penser que "lo" est active.
Oui, comme en témoigne le drapeau UP. Et configurée avec une adresse IP,
ce qui assure qu'elle est liée à la pile IP (c'est peut-être implicite
pour lo, mais pas pour une interface ethernet classique). Une interface
réseau n'a pas forcément besoin d'avoir une adresse IP pour être liée à
la pile IP, mais dans ce cas il faut vérifier qu'il existe un répertoire
portant le nom de l'interface dans /proc/sys/net/ipv4/conf/.
Par "sans règle" j'entendais à la suite de :
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
Note : on peut remplacer ces trois commandes par "iptables -F" qui vide
toutes les chaînes de la table 'filter'.iptables -P INPUT ACCEPT
iptables -t nat -F
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
Je ne vois pas de règle autorisant le trafic sur lo en sortie.
J'ai oublié de dire que je ne voyais pas non plus de règle autorisant le
trafic en sortie sur eth1, l'interface vers le LAN. Ça expliquerait
pourquoi la communication entre la machine et le LAN est impossible.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Bien vu !
Hé, on ne me la fait pas comme ça à moi. ;-)
Un petit détail concernant les règles de NAT source :-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
^^^
Je pense qu'il y a une petite erreur de frappe dans les adresses des
options -s : 192.162 au lieu de 192.168.
Aussi, pourquoi ne pas créer une seule règle avec -s 192.168.2.0/24 ?
Si tu ne veux autoriser que ces deux postes à sortir, il vaut mieux le
faire dans les règles de filtrage plutôt que dans les règles de NAT.
Ici, les paquets vont sortir sans être NATés et les réponses vont se
perdre dans la nature si la Livebox n'a pas la route qui va bien pour
les renvoyer vers la passerelle. D'ailleurs c'est ce qui devait se
passer à cause de l'erreur dans les règles SNAT.
Oui oui ....je me suis très mal exprimé. Je parlais en fait de ping sur
les adresses des deux cartes ethernet. Je ne savais pas que tout passait
par lo.
Quand je disais que ce point était souvent mal compris. ;-)
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Ce qui laisse penser que "lo" est active.
Oui, comme en témoigne le drapeau UP. Et configurée avec une adresse IP,
ce qui assure qu'elle est liée à la pile IP (c'est peut-être implicite
pour lo, mais pas pour une interface ethernet classique). Une interface
réseau n'a pas forcément besoin d'avoir une adresse IP pour être liée à
la pile IP, mais dans ce cas il faut vérifier qu'il existe un répertoire
portant le nom de l'interface dans /proc/sys/net/ipv4/conf/.
Par "sans règle" j'entendais à la suite de :
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
Note : on peut remplacer ces trois commandes par "iptables -F" qui vide
toutes les chaînes de la table 'filter'.
iptables -P INPUT ACCEPT
iptables -t nat -F
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
Je ne vois pas de règle autorisant le trafic sur lo en sortie.
J'ai oublié de dire que je ne voyais pas non plus de règle autorisant le
trafic en sortie sur eth1, l'interface vers le LAN. Ça expliquerait
pourquoi la communication entre la machine et le LAN est impossible.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Bien vu !
Hé, on ne me la fait pas comme ça à moi. ;-)
Un petit détail concernant les règles de NAT source :
-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
^^^
Je pense qu'il y a une petite erreur de frappe dans les adresses des
options -s : 192.162 au lieu de 192.168.
Aussi, pourquoi ne pas créer une seule règle avec -s 192.168.2.0/24 ?
Si tu ne veux autoriser que ces deux postes à sortir, il vaut mieux le
faire dans les règles de filtrage plutôt que dans les règles de NAT.
Ici, les paquets vont sortir sans être NATés et les réponses vont se
perdre dans la nature si la Livebox n'a pas la route qui va bien pour
les renvoyer vers la passerelle. D'ailleurs c'est ce qui devait se
passer à cause de l'erreur dans les règles SNAT.
Oui oui ....je me suis très mal exprimé. Je parlais en fait de ping sur
les adresses des deux cartes ethernet. Je ne savais pas que tout passait
par lo.
Quand je disais que ce point était souvent mal compris. ;-)
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Ce qui laisse penser que "lo" est active.
Oui, comme en témoigne le drapeau UP. Et configurée avec une adresse IP,
ce qui assure qu'elle est liée à la pile IP (c'est peut-être implicite
pour lo, mais pas pour une interface ethernet classique). Une interface
réseau n'a pas forcément besoin d'avoir une adresse IP pour être liée à
la pile IP, mais dans ce cas il faut vérifier qu'il existe un répertoire
portant le nom de l'interface dans /proc/sys/net/ipv4/conf/.
Par "sans règle" j'entendais à la suite de :
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
Note : on peut remplacer ces trois commandes par "iptables -F" qui vide
toutes les chaînes de la table 'filter'.iptables -P INPUT ACCEPT
iptables -t nat -F
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
Je ne vois pas de règle autorisant le trafic sur lo en sortie.
J'ai oublié de dire que je ne voyais pas non plus de règle autorisant le
trafic en sortie sur eth1, l'interface vers le LAN. Ça expliquerait
pourquoi la communication entre la machine et le LAN est impossible.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Bien vu !
Hé, on ne me la fait pas comme ça à moi. ;-)
Un petit détail concernant les règles de NAT source :-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
^^^
Je pense qu'il y a une petite erreur de frappe dans les adresses des
options -s : 192.162 au lieu de 192.168.
Aussi, pourquoi ne pas créer une seule règle avec -s 192.168.2.0/24 ?
Si tu ne veux autoriser que ces deux postes à sortir, il vaut mieux le
faire dans les règles de filtrage plutôt que dans les règles de NAT.
Ici, les paquets vont sortir sans être NATés et les réponses vont se
perdre dans la nature si la Livebox n'a pas la route qui va bien pour
les renvoyer vers la passerelle. D'ailleurs c'est ce qui devait se
passer à cause de l'erreur dans les règles SNAT.
iptables -P INPUT ACCEPT
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
J'ai oublié de dire que je ne voyais pas non plus de règle autorisant le
trafic en sortie sur eth1, l'interface vers le LAN.
-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
^^^
Je pense qu'il y a une petite erreur de frappe dans les adresses des
options -s : 192.162 au lieu de 192.168.
Rhaa c'est pas vrai. Quelle honte de laisser passer des coquilles
pareilles !
Aussi, pourquoi ne pas créer une seule règle avec -s 192.168.2.0/24 ?
Si tu ne veux autoriser que ces deux postes à sortir, il vaut mieux le
faire dans les règles de filtrage plutôt que dans les règles de NAT.
Hé bien primitivement, c'était sous cette forme qu'était rédigée la
règle concernant ces deux postes. Mais voilà : comme ils appartiennent à
deux jeunes filles d'âges différents je voulais pouvoir agir sur ces
postes de façon différente grâce à une ligne dans la crontab...
Si l'erreur est corrigée ils seront bien Natés tout de même, non ?
Juste au passage : "plouf" ça me rappelle linux.fr et la tribune . Il y
a de celà quelques années...Il y a un lien ?
iptables -P INPUT ACCEPT
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
J'ai oublié de dire que je ne voyais pas non plus de règle autorisant le
trafic en sortie sur eth1, l'interface vers le LAN.
-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
^^^
Je pense qu'il y a une petite erreur de frappe dans les adresses des
options -s : 192.162 au lieu de 192.168.
Rhaa c'est pas vrai. Quelle honte de laisser passer des coquilles
pareilles !
Aussi, pourquoi ne pas créer une seule règle avec -s 192.168.2.0/24 ?
Si tu ne veux autoriser que ces deux postes à sortir, il vaut mieux le
faire dans les règles de filtrage plutôt que dans les règles de NAT.
Hé bien primitivement, c'était sous cette forme qu'était rédigée la
règle concernant ces deux postes. Mais voilà : comme ils appartiennent à
deux jeunes filles d'âges différents je voulais pouvoir agir sur ces
postes de façon différente grâce à une ligne dans la crontab...
Si l'erreur est corrigée ils seront bien Natés tout de même, non ?
Juste au passage : "plouf" ça me rappelle linux.fr et la tribune . Il y
a de celà quelques années...Il y a un lien ?
iptables -P INPUT ACCEPT
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
J'ai oublié de dire que je ne voyais pas non plus de règle autorisant le
trafic en sortie sur eth1, l'interface vers le LAN.
-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
^^^
Je pense qu'il y a une petite erreur de frappe dans les adresses des
options -s : 192.162 au lieu de 192.168.
Rhaa c'est pas vrai. Quelle honte de laisser passer des coquilles
pareilles !
Aussi, pourquoi ne pas créer une seule règle avec -s 192.168.2.0/24 ?
Si tu ne veux autoriser que ces deux postes à sortir, il vaut mieux le
faire dans les règles de filtrage plutôt que dans les règles de NAT.
Hé bien primitivement, c'était sous cette forme qu'était rédigée la
règle concernant ces deux postes. Mais voilà : comme ils appartiennent à
deux jeunes filles d'âges différents je voulais pouvoir agir sur ces
postes de façon différente grâce à une ligne dans la crontab...
Si l'erreur est corrigée ils seront bien Natés tout de même, non ?
Juste au passage : "plouf" ça me rappelle linux.fr et la tribune . Il y
a de celà quelques années...Il y a un lien ?
pascal a écrit :
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
Correction : je voulais dire "des chaînes *OUTPUT* et FORWARD" bien sûr.
Soit, mais comme je l'ai déjà dit, il vaut mieux faire ce filtrage dans
la chaîne FORWARD de la table 'filter' qui est là pour ça. Les chaînes
de la table 'nat' sont faites pour le NAT et rien d'autre. Compte tenu
de leur comportement particulier (elles ne voient passer que le premier
paquet d'une nouvelle connexion), s'en servir pour faire du filtrage
expose à des effets de bord. En particulier la création et la
suppression de règles NAT n'ont aucune influence sur les paquets
appartenant ou liés aux connexions déjà établies : les paquets des
connexions existantes continuent d'être NATés de la même façon.
Exemple pratique :
Pendant que la règle SNAT est en place, l'utilisatrice établit une
connexion avec un logiciel de messagerie instantanée. Arrive l'heure où
la règle SNAT est supprimée. Malgré cela, tant que la connexion
existante reste établie, la translation d'adresse et de port mise en
place pour elle par le passage du premier paquet reste active et
l'utilisatrice peut continuer à tchatter jusqu'à pas d'heure.
Il faut plutôt introduire ces adresses dans les règles de filtrage de la
chaîne FORWARD, y compris celles gérant l'état ESTABLISHED,RELATED sinon
les connexions existantes continueront à passer. Et lors de la coupure
utiliser la cible REJECT au lieu de DROP afin de signaler que le
connexion est coupée, c'est plus poli.
Juste au passage : "plouf" ça me rappelle linux.fr et la tribune . Il y
a de celà quelques années...Il y a un lien ?
Je ne crois pas. J'ai créé et commencé à utiliser ce domaine en été
2004, et je n'ai jamais participé à des discussions sur ces sites.
pascal a écrit :
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
Correction : je voulais dire "des chaînes *OUTPUT* et FORWARD" bien sûr.
Soit, mais comme je l'ai déjà dit, il vaut mieux faire ce filtrage dans
la chaîne FORWARD de la table 'filter' qui est là pour ça. Les chaînes
de la table 'nat' sont faites pour le NAT et rien d'autre. Compte tenu
de leur comportement particulier (elles ne voient passer que le premier
paquet d'une nouvelle connexion), s'en servir pour faire du filtrage
expose à des effets de bord. En particulier la création et la
suppression de règles NAT n'ont aucune influence sur les paquets
appartenant ou liés aux connexions déjà établies : les paquets des
connexions existantes continuent d'être NATés de la même façon.
Exemple pratique :
Pendant que la règle SNAT est en place, l'utilisatrice établit une
connexion avec un logiciel de messagerie instantanée. Arrive l'heure où
la règle SNAT est supprimée. Malgré cela, tant que la connexion
existante reste établie, la translation d'adresse et de port mise en
place pour elle par le passage du premier paquet reste active et
l'utilisatrice peut continuer à tchatter jusqu'à pas d'heure.
Il faut plutôt introduire ces adresses dans les règles de filtrage de la
chaîne FORWARD, y compris celles gérant l'état ESTABLISHED,RELATED sinon
les connexions existantes continueront à passer. Et lors de la coupure
utiliser la cible REJECT au lieu de DROP afin de signaler que le
connexion est coupée, c'est plus poli.
Juste au passage : "plouf" ça me rappelle linux.fr et la tribune . Il y
a de celà quelques années...Il y a un lien ?
Je ne crois pas. J'ai créé et commencé à utiliser ce domaine en été
2004, et je n'ai jamais participé à des discussions sur ces sites.
pascal a écrit :
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
Correction : je voulais dire "des chaînes *OUTPUT* et FORWARD" bien sûr.
Soit, mais comme je l'ai déjà dit, il vaut mieux faire ce filtrage dans
la chaîne FORWARD de la table 'filter' qui est là pour ça. Les chaînes
de la table 'nat' sont faites pour le NAT et rien d'autre. Compte tenu
de leur comportement particulier (elles ne voient passer que le premier
paquet d'une nouvelle connexion), s'en servir pour faire du filtrage
expose à des effets de bord. En particulier la création et la
suppression de règles NAT n'ont aucune influence sur les paquets
appartenant ou liés aux connexions déjà établies : les paquets des
connexions existantes continuent d'être NATés de la même façon.
Exemple pratique :
Pendant que la règle SNAT est en place, l'utilisatrice établit une
connexion avec un logiciel de messagerie instantanée. Arrive l'heure où
la règle SNAT est supprimée. Malgré cela, tant que la connexion
existante reste établie, la translation d'adresse et de port mise en
place pour elle par le passage du premier paquet reste active et
l'utilisatrice peut continuer à tchatter jusqu'à pas d'heure.
Il faut plutôt introduire ces adresses dans les règles de filtrage de la
chaîne FORWARD, y compris celles gérant l'état ESTABLISHED,RELATED sinon
les connexions existantes continueront à passer. Et lors de la coupure
utiliser la cible REJECT au lieu de DROP afin de signaler que le
connexion est coupée, c'est plus poli.
Juste au passage : "plouf" ça me rappelle linux.fr et la tribune . Il y
a de celà quelques années...Il y a un lien ?
Je ne crois pas. J'ai créé et commencé à utiliser ce domaine en été
2004, et je n'ai jamais participé à des discussions sur ces sites.
Il faut plutôt introduire ces adresses dans les règles de filtrage de la
chaîne FORWARD, y compris celles gérant l'état ESTABLISHED,RELATED sinon
les connexions existantes continueront à passer. Et lors de la coupure
utiliser la cible REJECT au lieu de DROP afin de signaler que le
connexion est coupée, c'est plus poli.
Ca me parle cet exemple :-)
Et en plus j'avais (au moins) assimilé cet aspect du NAT. Néanmoins...
Heu en fait elles y sont ces règles. Mais bon comme je craignais
qu'elles fassent double emplois et pour ne pas aggraver mon cas je ne
les ai pas présentées içi. Oui je sais...
Mais là, à cette heure, je ne suis plus à ça près ...
En plus (faut pas taper) elles n'ont pas la bonne forme :
iptables -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state !
INVALID -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
Et si je ne craignais pas d'abuser...
Il faut donc que ces deux systèmes de règle soient présents (l'un pour
le SNAT et l'autre pour le filtrage) à la fois ?
Et il n' y a pas là de redondance, alors ?
Mais dans la chaîne FORWARD de la table filter, puis-je distinguer les
deux machines (via "-s") ou suis-je contraint comme dans les lignes
précédentes à raisonner en termes d'interface d'entrée et de sortie du
routeur ?
En fait je crois avoir du mal à m'imaginer les relations exactes et
précises liant les tables aux chaînes. A m'en faire une représentation
mentale. Ca n'est pas très clair pour moi. Malgré mes lectures.
Il faut plutôt introduire ces adresses dans les règles de filtrage de la
chaîne FORWARD, y compris celles gérant l'état ESTABLISHED,RELATED sinon
les connexions existantes continueront à passer. Et lors de la coupure
utiliser la cible REJECT au lieu de DROP afin de signaler que le
connexion est coupée, c'est plus poli.
Ca me parle cet exemple :-)
Et en plus j'avais (au moins) assimilé cet aspect du NAT. Néanmoins...
Heu en fait elles y sont ces règles. Mais bon comme je craignais
qu'elles fassent double emplois et pour ne pas aggraver mon cas je ne
les ai pas présentées içi. Oui je sais...
Mais là, à cette heure, je ne suis plus à ça près ...
En plus (faut pas taper) elles n'ont pas la bonne forme :
iptables -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state !
INVALID -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
Et si je ne craignais pas d'abuser...
Il faut donc que ces deux systèmes de règle soient présents (l'un pour
le SNAT et l'autre pour le filtrage) à la fois ?
Et il n' y a pas là de redondance, alors ?
Mais dans la chaîne FORWARD de la table filter, puis-je distinguer les
deux machines (via "-s") ou suis-je contraint comme dans les lignes
précédentes à raisonner en termes d'interface d'entrée et de sortie du
routeur ?
En fait je crois avoir du mal à m'imaginer les relations exactes et
précises liant les tables aux chaînes. A m'en faire une représentation
mentale. Ca n'est pas très clair pour moi. Malgré mes lectures.
Il faut plutôt introduire ces adresses dans les règles de filtrage de la
chaîne FORWARD, y compris celles gérant l'état ESTABLISHED,RELATED sinon
les connexions existantes continueront à passer. Et lors de la coupure
utiliser la cible REJECT au lieu de DROP afin de signaler que le
connexion est coupée, c'est plus poli.
Ca me parle cet exemple :-)
Et en plus j'avais (au moins) assimilé cet aspect du NAT. Néanmoins...
Heu en fait elles y sont ces règles. Mais bon comme je craignais
qu'elles fassent double emplois et pour ne pas aggraver mon cas je ne
les ai pas présentées içi. Oui je sais...
Mais là, à cette heure, je ne suis plus à ça près ...
En plus (faut pas taper) elles n'ont pas la bonne forme :
iptables -A FORWARD -i $LAN_IFACE -o $INET_IFACE -m state --state !
INVALID -j ACCEPT
iptables -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state
ESTABLISHED,RELATED -j ACCEPT
Et si je ne craignais pas d'abuser...
Il faut donc que ces deux systèmes de règle soient présents (l'un pour
le SNAT et l'autre pour le filtrage) à la fois ?
Et il n' y a pas là de redondance, alors ?
Mais dans la chaîne FORWARD de la table filter, puis-je distinguer les
deux machines (via "-s") ou suis-je contraint comme dans les lignes
précédentes à raisonner en termes d'interface d'entrée et de sortie du
routeur ?
En fait je crois avoir du mal à m'imaginer les relations exactes et
précises liant les tables aux chaînes. A m'en faire une représentation
mentale. Ca n'est pas très clair pour moi. Malgré mes lectures.