pascal a écrit :
Oui oui ....je me suis très mal exprimé. Je parlais en fait de ping sur
les adresses des deux cartes ethernet. Je ne savais pas que tout passait
par lo.
Quand je disais que ce point était souvent mal compris. ;-)
lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Ce qui laisse penser que "lo" est active.
Oui, comme en témoigne le drapeau UP. Et configurée avec une adresse IP,
ce qui assure qu'elle est liée à la pile IP (c'est peut-être implicite
pour lo, mais pas pour une interface ethernet classique). Une interface
réseau n'a pas forcément besoin d'avoir une adresse IP pour être liée à
la pile IP, mais dans ce cas il faut vérifier qu'il existe un répertoire
portant le nom de l'interface dans /proc/sys/net/ipv4/conf/.
Par "sans règle" j'entendais à la suite de :
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
Note : on peut remplacer ces trois commandes par "iptables -F" qui vide
toutes les chaînes de la table 'filter'.
iptables -P INPUT ACCEPT
iptables -t nat -F
Les politiques par défaut des chaînes INPUT et FORWARD ne sont pas
modifiées. Donc si elles étaient à DROP elle le restent, ce qui bloque
le trafic sortant et routé.
Je ne vois pas de règle autorisant le trafic sur lo en sortie.
J'ai oublié de dire que je ne voyais pas non plus de règle autorisant le
trafic en sortie sur eth1, l'interface vers le LAN. Ça expliquerait
pourquoi la communication entre la machine et le LAN est impossible.
Ce serait étonnant qu'iptables se permette de rajouter des trucs comme
ça. Tu n'aurais pas plutôt une règle avec "-m state --state ! INVALID" ?
Bien vu !
Hé, on ne me la fait pas comme ça à moi. ;-)
Un petit détail concernant les règles de NAT source :
-A POSTROUTING -s 192.162.2.21 -o eth0 -j SNAT --to-source 192.168.1.20
-A POSTROUTING -s 192.162.2.23 -o eth0 -j SNAT --to-source 192.168.1.20
^^^
Je pense qu'il y a une petite erreur de frappe dans les adresses des
options -s : 192.162 au lieu de 192.168.
Aussi, pourquoi ne pas créer une seule règle avec -s 192.168.2.0/24 ?
Si tu ne veux autoriser que ces deux postes à sortir, il vaut mieux le
faire dans les règles de filtrage plutôt que dans les règles de NAT.
Ici, les paquets vont sortir sans être NATés et les réponses vont se
perdre dans la nature si la Livebox n'a pas la route qui va bien pour
les renvoyer vers la passerelle. D'ailleurs c'est ce qui devait se
passer à cause de l'erreur dans les règles SNAT.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]