Question iptables route

Bonjour,

Je viens de réinstaller Sarge sur une machine qui me sert de passerelle
vers internet (ADSL).
J'utilise iptables. Cette machine sert aussi de DNS.
De cette machine, j'ai accès à n'importe quel site sans aucun problème.
Par contre à partir d'une autre machine, j'arrive à accéder à certains
sites, mais pas à d'autres:
www.kernel.org: Ok

www.hp.com: impossible !

Un peu d'info sur ma config

tatooine:/home/ols# ifconfig
eth0 Link encap:Ethernet HWaddr 00:01:02:1E:E0:30
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1

eth1 Link encap:Ethernet HWaddr 00:01:02:AF:58:E4
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1

ppp0 Link encap:Point-to-Point Protocol
inet addr:217.136.13.237 P-t-P:217.136.13.1
Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1

tatooine:/home/ols# iptables -L -v

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
146 22290 ACCEPT all -- eth1 ppp0 localnet/24 anywhere
140 126K ACCEPT all -- any any anywhere anywhere
state RELATED,ESTABLISHED

0 0 LOG all -- any ppp0 anywhere localnet/24
LOG level warning
0 0 DROP all -- any ppp0 anywhere localnet/24

0 0 LOG all -- any any anywhere anywhere
LOG level warning
0 0 DROP all -- any any anywhere anywhere

0 0 TCPMSS tcp -- any any anywhere anywhere
tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Quelqu'un aurait-il une piste ?

Merci

Dans le message <news:41c6881a$0$13458$ba620e4c@news.skynet.be>,
*Olivier Scalbert* tapota sur f.c.o.l.configuration :

Bonjour,

Je viens de réinstaller Sarge sur une machine qui me sert de
passerelle vers internet (ADSL).
J'utilise iptables. Cette machine sert aussi de DNS.
De cette machine, j'ai accès à n'importe quel site sans aucun problème.
Par contre à partir d'une autre machine, j'arrive à accéder à certains
sites, mais pas à d'autres:
www.kernel.org: Ok

Ok.

www.hp.com: impossible !

Symptômes ? Problème de résolution de nom ? Refus de la connexion ?
Délai de connexion dépassée ?
Vérifiez tous ces points avec les commandes ping, traceroute et telnet
avec le nom d'hôte du site et avec son adresse IP.

Un peu d'info sur ma config

D'après les informations qui suit, j'imagine que votre connexion ADSL se
fait via PPPoE.

tatooine:/home/ols# ifconfig
eth0 Link encap:Ethernet HWaddr 00:01:02:1E:E0:30
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1

eth1 Link encap:Ethernet HWaddr 00:01:02:AF:58:E4
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1

Il est à mon avis pas très judicieux d'avoir définit un MTU à 1492 sur
ces interfaces, particulièrement sur l'interface eth0 qui semble être
l'interface où est reliée le modem Ethernet. Laissez un MTU à 1500 sur
ces interfaces.

ppp0 Link encap:Point-to-Point Protocol
inet addr:217.136.13.237 P-t-P:217.136.13.1
Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1

tatooine:/home/ols# iptables -L -v

J'ai tendance à dire que l'utilisation de cette commande pour publier
ses règles est à bannir !
En effet, le format de sortie est difficilement lisible et difficilement
exploitable.
De plus, cette commande ne sait lister qu'une table à la fois. Ici il
manque la table nat.
Il serait bien mieux de publier ses règles sous forme de fichier en
utilisant la commande iptables-save ou mieux de publier directement le
script des règles iptables.

Dans la table filter, seule la chaîne FORWARD nous intéresse.

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
146 22290 ACCEPT all -- eth1 ppp0 localnet/24 anywhere
140 126K ACCEPT all -- any any anywhere anywhere
state RELATED,ESTABLISHED

Pourquoi ne pas préciser ici les interfaces d'entrée et de sortie comme
cela avait était fait précédemment ?

0 0 LOG all -- any ppp0 anywhere localnet/24
LOG level warning
0 0 DROP all -- any ppp0 anywhere localnet/24

Ces deux règles font double emploi avec les deux suivantes. De plus, il
serait plus prudent d'introduire dans la règle LOG le match limit afin
d'éviter de trop polluer ses logs.

0 0 LOG all -- any any anywhere anywhere LOG
level warning
0 0 DROP all -- any any anywhere anywhere

À ce stade, tous les paquets traversant la chaîne FORWARD seront bloqués
et n'iront donc pas plus loin.

0 0 TCPMSS tcp -- any any anywhere anywhere tcp
flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Suite à ma remarque précédente, cette règle donc est mal placée et aucun
paquet ne la traversera.

Quelqu'un aurait-il une piste ?

Je penche pour un problème classique de MTU/MSS mal défini sur les
machines clientes. Vérifiez bien que les interfaces de vos machines
clientes ont bien un MTU de valeur 1492.

Merci

De rien.

Bien vu !

En mettant le mtu92 sur un client j'ai de nouveau accès à tous les
sites !
Ce que je ne comprends pas, c'est qu'avec mon ancienne installation, je
ne devais pas changer le mtu sur mes clients ...

Quant aux règles, je ne vais plus utiliser le package debian ipmasq,
mais les réécrire moi-même (ou plutôt essayer !)

Un immense merci

TiChou wrote:

Dans le message <news:41c6881a$0$13458$ba620e4c@news.skynet.be>,
*Olivier Scalbert* tapota sur f.c.o.l.configuration :

Bonjour,

Je viens de réinstaller Sarge sur une machine qui me sert de
passerelle vers internet (ADSL).
J'utilise iptables. Cette machine sert aussi de DNS.
De cette machine, j'ai accès à n'importe quel site sans aucun problème.
Par contre à partir d'une autre machine, j'arrive à accéder à certains
sites, mais pas à d'autres:
www.kernel.org: Ok

Ok.

www.hp.com: impossible !

Symptômes ? Problème de résolution de nom ? Refus de la connexion ?
Délai de connexion dépassée ?
Vérifiez tous ces points avec les commandes ping, traceroute et telnet
avec le nom d'hôte du site et avec son adresse IP.

Un peu d'info sur ma config

D'après les informations qui suit, j'imagine que votre connexion ADSL se
fait via PPPoE.

tatooine:/home/ols# ifconfig
eth0 Link encap:Ethernet HWaddr 00:01:02:1E:E0:30
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1

eth1 Link encap:Ethernet HWaddr 00:01:02:AF:58:E4
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1

Il est à mon avis pas très judicieux d'avoir définit un MTU à 1492 sur
ces interfaces, particulièrement sur l'interface eth0 qui semble être
l'interface où est reliée le modem Ethernet. Laissez un MTU à 1500 sur
ces interfaces.

ppp0 Link encap:Point-to-Point Protocol
inet addr:217.136.13.237 P-t-P:217.136.13.1
Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1

tatooine:/home/ols# iptables -L -v

J'ai tendance à dire que l'utilisation de cette commande pour publier
ses règles est à bannir !
En effet, le format de sortie est difficilement lisible et difficilement
exploitable.
De plus, cette commande ne sait lister qu'une table à la fois. Ici il
manque la table nat.
Il serait bien mieux de publier ses règles sous forme de fichier en
utilisant la commande iptables-save ou mieux de publier directement le
script des règles iptables.

Dans la table filter, seule la chaîne FORWARD nous intéresse.

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
146 22290 ACCEPT all -- eth1 ppp0 localnet/24 anywhere
140 126K ACCEPT all -- any any anywhere anywhere
state RELATED,ESTABLISHED

Pourquoi ne pas préciser ici les interfaces d'entrée et de sortie comme
cela avait était fait précédemment ?

0 0 LOG all -- any ppp0 anywhere localnet/24
LOG level warning
0 0 DROP all -- any ppp0 anywhere localnet/24

Ces deux règles font double emploi avec les deux suivantes. De plus, il
serait plus prudent d'introduire dans la règle LOG le match limit afin
d'éviter de trop polluer ses logs.

0 0 LOG all -- any any anywhere anywhere LOG
level warning
0 0 DROP all -- any any anywhere anywhere

À ce stade, tous les paquets traversant la chaîne FORWARD seront bloqués
et n'iront donc pas plus loin.

0 0 TCPMSS tcp -- any any anywhere anywhere tcp
flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Suite à ma remarque précédente, cette règle donc est mal placée et aucun
paquet ne la traversera.

Quelqu'un aurait-il une piste ?

Je penche pour un problème classique de MTU/MSS mal défini sur les
machines clientes. Vérifiez bien que les interfaces de vos machines
clientes ont bien un MTU de valeur 1492.

Merci

De rien.

je me répète (ce n'est pas de la pub pour moi) :

Olivier Scalbert wrote:

Bien vu !

En mettant le mtu92 sur un client j'ai de nouveau accès à tous les
sites !
Ce que je ne comprends pas, c'est qu'avec mon ancienne installation, je
ne devais pas changer le mtu sur mes clients ...

Quant aux règles, je ne vais plus utiliser le package debian ipmasq,
mais les réécrire moi-même (ou plutôt essayer !)

Un immense merci

TiChou wrote:

Dans le message <news:41c6881a$0$13458$ba620e4c@news.skynet.be>,
*Olivier Scalbert* tapota sur f.c.o.l.configuration :

Bonjour,

Je viens de réinstaller Sarge sur une machine qui me sert de
passerelle vers internet (ADSL).
J'utilise iptables. Cette machine sert aussi de DNS.
De cette machine, j'ai accès à n'importe quel site sans aucun problème.
Par contre à partir d'une autre machine, j'arrive à accéder à certains
sites, mais pas à d'autres:
www.kernel.org: Ok

Ok.

www.hp.com: impossible !

Symptômes ? Problème de résolution de nom ? Refus de la connexion ?
Délai de connexion dépassée ?
Vérifiez tous ces points avec les commandes ping, traceroute et telnet
avec le nom d'hôte du site et avec son adresse IP.

Un peu d'info sur ma config

D'après les informations qui suit, j'imagine que votre connexion ADSL se
fait via PPPoE.

tatooine:/home/ols# ifconfig
eth0 Link encap:Ethernet HWaddr 00:01:02:1E:E0:30
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1

eth1 Link encap:Ethernet HWaddr 00:01:02:AF:58:E4
UP BROADCAST RUNNING MULTICAST MTU:1492 Metric:1

Il est à mon avis pas très judicieux d'avoir définit un MTU à 1492 sur
ces interfaces, particulièrement sur l'interface eth0 qui semble être
l'interface où est reliée le modem Ethernet. Laissez un MTU à 1500 sur
ces interfaces.

ppp0 Link encap:Point-to-Point Protocol
inet addr:217.136.13.237 P-t-P:217.136.13.1
Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1

tatooine:/home/ols# iptables -L -v

J'ai tendance à dire que l'utilisation de cette commande pour publier
ses règles est à bannir !
En effet, le format de sortie est difficilement lisible et difficilement
exploitable.
De plus, cette commande ne sait lister qu'une table à la fois. Ici il
manque la table nat.
Il serait bien mieux de publier ses règles sous forme de fichier en
utilisant la commande iptables-save ou mieux de publier directement le
script des règles iptables.

Dans la table filter, seule la chaîne FORWARD nous intéresse.

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
146 22290 ACCEPT all -- eth1 ppp0 localnet/24 anywhere
140 126K ACCEPT all -- any any anywhere anywhere
state RELATED,ESTABLISHED

Pourquoi ne pas préciser ici les interfaces d'entrée et de sortie comme
cela avait était fait précédemment ?

0 0 LOG all -- any ppp0 anywhere localnet/24
LOG level warning
0 0 DROP all -- any ppp0 anywhere localnet/24

Ces deux règles font double emploi avec les deux suivantes. De plus, il
serait plus prudent d'introduire dans la règle LOG le match limit afin
d'éviter de trop polluer ses logs.

0 0 LOG all -- any any anywhere anywhere LOG
level warning
0 0 DROP all -- any any anywhere anywhere

À ce stade, tous les paquets traversant la chaîne FORWARD seront bloqués
et n'iront donc pas plus loin.

0 0 TCPMSS tcp -- any any anywhere anywhere tcp
flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

Suite à ma remarque précédente, cette règle donc est mal placée et aucun
paquet ne la traversera.

Quelqu'un aurait-il une piste ?

Je penche pour un problème classique de MTU/MSS mal défini sur les
machines clientes. Vérifiez bien que les interfaces de vos machines
clientes ont bien un MTU de valeur 1492.

Merci

De rien.

je me répète (ce n'est pas de la pub pour moi) :
un bon site pour iptable et firewall
http://olivieraj.free.fr/fr/linux/information/firewall/

la doc est très intéressante (et les scripts aussi).


Claude
Oui, tout à fait !

je me répète (ce n'est pas de la pub pour moi) :
un bon site pour iptable et firewall
http://olivieraj.free.fr/fr/linux/information/firewall/

la doc est très intéressante (et les scripts aussi).

Oui, tout à fait !

( Mon, 20 Dec 2004 22:25:36 +0100 ) Olivier Scalbert :
[encore quotage goret]

Oui, tout à fait !

... tu es sur d'avoir bien lu ?
n'empêche que je ne comprends toujours pas pourquoi je dois mettre un