Résultat avec tcpdump : linfast est le client avec l'adresse 192.168.0.1 linserv est le firewall avec l'adresse 192.168.0.3 linweb est le serveur web avec l'adresse 192.168.0.5
Le "dnsix" dans le log du client indique le port 90 du firewall utilisé pour la redirection vers le port 80 du serveur web. Log depuis le serveur : 19:21:35.119046 linfast.zaphebergeur.net.33406 > linweb.zaphebergeur.net.www: S 1260460749:1260460749(0) win 5840 <mss 1460,sackOK,timestamp 8459878[|tcp]> (DF) (ttl 63, id 3243, len 60) 19:21:35.119107 linweb.zaphebergeur.net.www > linfast.zaphebergeur.net.33406: R [tcp sum ok] 0:0(0) ack 1260460750 win 0 (DF) (ttl 255, id 0, len 40) 19:21:38.114397 linfast.zaphebergeur.net.33406 > linweb.zaphebergeur.net.www: S 1260460749:1260460749(0) win 5840 <mss 1460,sackOK,timestamp 8460178[|tcp]> (DF) (ttl 63, id 3244, len 60) 19:21:38.114432 linweb.zaphebergeur.net.www > linfast.zaphebergeur.net.33406: R [tcp sum ok] 0:0(0) ack 1 win 0 (DF) (ttl 255, id 0, len 40) 19:21:44.113851 linfast.zaphebergeur.net.33406 > linweb.zaphebergeur.net.www: S 1260460749:1260460749(0) win 5840 <mss 1460,sackOK,timestamp 8460778[|tcp]> (DF) (ttl 63, id 3245, len 60) 19:21:44.113862 linweb.zaphebergeur.net.www > linfast.zaphebergeur.net.33406: R [tcp sum ok] 0:0(0) ack 1 win 0 (DF) (ttl 255, id 0, len 40) 19:21:56.112819 linfast.zaphebergeur.net.33406 > linweb.zaphebergeur.net.www: S 1260460749:1260460749(0) win 5840 <mss 1460,sackOK,timestamp 8461978[|tcp]> (DF) (ttl 63, id 3246, len 60) 19:21:56.112838 linweb.zaphebergeur.net.www > linfast.zaphebergeur.net.33406: R [tcp sum ok] 0:0(0) ack 1 win 0 (DF) (ttl 255, id 0, len 40) Log depuis le client : 19:22:38.814714 linfast.33406 > 192.168.0.3.dnsix: S 1260460749:1260460749(0) win 5840 <mss 1460,sackOK,timestamp 8459878[|tcp]> (DF) (ttl 64, id 3243, len 60) 19:22:38.815036 192.168.0.5.http > linfast.33406: R [tcp sum ok] 0:0(0) ack 1260460750 win 0 (DF) (ttl 255, id 0, len 40) 19:22:41.810201 linfast.33406 > 192.168.0.3.dnsix: S 1260460749:1260460749(0) win 5840 <mss 1460,sackOK,timestamp 8460178[|tcp]> (DF) (ttl 64, id 3244, len 60) 19:22:41.810612 192.168.0.5.http > linfast.33406: R [tcp sum ok] 0:0(0) ack 1 win 0 (DF) (ttl 255, id 0, len 40) 19:22:47.810203 linfast.33406 > 192.168.0.3.dnsix: S 1260460749:1260460749(0) win 5840 <mss 1460,sackOK,timestamp 8460778[|tcp]> (DF) (ttl 64, id 3245, len 60) 19:22:47.810531 192.168.0.5.http > linfast.33406: R [tcp sum ok] 0:0(0) ack 1 win 0 (DF) (ttl 255, id 0, len 40) 19:22:59.810212 linfast.33406 > 192.168.0.3.dnsix: S 1260460749:1260460749(0) win 5840 <mss 1460,sackOK,timestamp 8461978[|tcp]> (DF) (ttl 64, id 3246, len 60) 19:22:59.810492 192.168.0.5.http > linfast.33406: R [tcp sum ok] 0:0(0) ack 1 win 0 (DF) (ttl 255, id 0, len 40) Tout ceci m'a l'air très normal, vous ne trouvez pas ? On remarque meme que pour le serveur la communication est très transparente et il ne tient meme pas compte du firewall. Est-ce que ça pose un problème pour le client s'il envoie un paquet SYN à une adresse IP et qu'en réponse il reçoit le paquet ACK depuis une autre adresse ? Je remarque que l'id du paquet d'envoi n'est pas le meme que celui du paquet de reception... C'est peut-etre pas normal, je ne sais pas. Le client ne reçoit aucune donnée http du serveur et que la connexion est coupée après 4 ou 5 tentatives espacées de quelques secondes. Je m'appelle à votre savoir ! :) Merci. Dario On Saturday 01 June 2002 14:03, Dario Spagnolo wrote: > Salut à tous, > > je suis sur le point d'installer un serveur apache sur une machine qui > n'aura pas accès direct à internet, si ce n'est par une machine faisant > office de firewall. Le kernel sur le firewall est un 2.4 donc je pense que > ma solution s'appelle iptables. M'étant inspiré de du IP-Masquerade Howto > et d'un article sur lea-linux.org, j'ai ajouté ces trois lignes au fichier > de config du firewall : > > #IP du firewall : 192.168.0.3 > #IP du serveur : 192.168.0.5 > #Il existe déjà un serveur sur le port 80 dans le firewall lui meme, donc > pour l'instant je voudrais que celui du serveur web soit accessible par le > port 90 du firewall. > > PORTFWIP="192.168.0.5" > #EXTIP="195.78.18.236" Pas utilisé, je me contenterais pour > l'instant que > le serveur soit accessible par le lan. En plus cette variable devra changer > à chaque reconnexion à cause de l'ip dynamique. Donc à voir plus tard. > > $IPTABLES -t nat -A PREROUTING -d 192.168.0.3 -p tcp --dport 90 -j DNAT > --to-destination 192.168.0.5:80 > > $IPTABLES -A FORWARD -i eth0 -o eth0 -p tcp --destination-port 90 -m state > --state NEW,ESTABLISHED -j ACCEPT > > $IPTABLES -A FORWARD -o eth0 -i eth0 -p tcp --source-port 90 -m state > --state ESTABLISHED -j ACCEPT > > Avec ces règles, on dirait que la connection s'établit mais ça ne va pas > plus loin. Faudrait que j'analyse ça avec ethereal mais Star Wars Episode > II commence dans 15 minutes au cinema ! Je ferais ça plus tard... :) > > Merci de votre aide ! > > Dario ______________________________________________________________________________ ifrance.com, l'email gratuit le plus complet de l'Internet ! vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP... http://www.ifrance.com/_reloc/email.emailif Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
