Discussion :

[Kimael]

Bonjour,

tout d'abord, une rapide description de mon réseau :

• un modem ethernet Thomson (fourni par Mamadoo) en 10.0.0.?/32;
• un pc nommé pentium75 faisant office de passerelle (eth0 en 10.0.0.?/32 vers modem, eth1 en 192.168.0.1/24) ;
• un pc nommé pc2shakira en 192.168.0.7/24

Pour l'instant, j'utilise IPTables de façon très simple sur ma passerelle ; de tête j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A POSTROUTING -s 192.168.0.255/24 -i eth1 -o ppp0 MASQUERADE

Ma table de 'routage' sur la passerelle est (de tête) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
127.0.0.1 lo
192.168.0.0 eth1
10.0.0.0 eth0
0.0.0.0 IPDynamique ppp0 (default)

J'ai recement appris qu'on pouvait trifouiller le modem à l'adresse http://10.0.0.138.
Je n'y arrive que depuis la passerelle (je ne sais pas trop pourquoi).

Ce que je voudrais ajouter c'est la possibilité d'interroger mon modem depuis pc2shakira.
J'ai pensé utiliser IPTables et le port 8081 (au lieu du port 80 pour distinguer les requêtes vers le Web des requêtes d'administration du modem) sur pentium75 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -s 192.168.0.7/24 -i eth1 -p tcp --dport 8081 -j DNAT --to-destination 10.0.0.138:80

J'aimerai connaître vos avis sur le fait que dans l'état je ne peux pas atteindre le modem depuis pc2shakira,
mais également sur mon idée de règle IPTables...

[ovh]

Ne manquerait-il pas des règles forward ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
# 1. forward les paquets
    iptables -A FORWARD -s $LAN -d ! $LAN -j ACCEPT
    iptables -A FORWARD -s ! $LAN -d $LAN -j ACCEPT
    # 2. nat les paquets sortants vers internet seulement
    iptables -A POSTROUTING -t nat -s $LAN -d ! $LAN -j MASQUERADE

[Kimael]

Ne manquerait-il pas des règles forward ?

Non, en fait j'accepte tout pour l'instant...

Je précise que depuis pc2shakira j'ai accès à Internet.
De plus, j'ai un Apache sur pc2shakira qui est accessible depuis Internet

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.7:80

[ovh]

Que donne un traceroute d'un serveur internet et de 10.0.0.138 ?

[Kimael]

Que donne un traceroute d'un serveur internet et de 10.0.0.138 ?

Je ne peux pas le faire tout de suite, mais je l'ai déjà fait :

• pour www.google.fr je le trouve sans problème (plus de détail bientôt) ;
• pour 10.0.0.138 : network unreachable

Mais je répète que pour l'instant, je n'ai pas ajouté la règle suivante sur ma passerelle :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
iptables -t nat -A PREROUTING -s 192.168.0.7/24 -i eth1 -p tcp --dport 8081 -j DNAT --to-destination 10.0.0.138:80

Je voudrais savoir si elle semble être une solution...
(c'est un des buts de ce sujet)

[ovh]

Ah oui je crois que j'ai compris, en fait c'est tout simplement parce que le NAT de ta passerelle ne passe pas par le réseau 10.0.0.0. Tu NAT directement de 192.168.0.0 vers internet (0.0.0.0) via ppp0. C'est pour ça que ça ne marche pas.

Pour régler ton problème tu devras je pense faire 2 NAT (en postrouting) : 1 pour internet - que tu as déjà fait donc - et un second pour le 10.0.0.0 rattaché à la carte eth0 de ta passerelle, reliée au modem.

[Kimael]

Pour régler ton problème tu devras je pense faire 2 NAT (en postrouting)

Donc la règle que je me propose (je suis gentil avec moi )
n'est pas bonne ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -s 192.168.0.7/24 -i eth1 -p tcp --dport 8081 -j DNAT --to-destination 10.0.0.138:80

Pourquoi POSTROUTING et pas PREROUTING comme je le pensais ?

Ah, ça m'énerve de ne pas maîtriser ces histoires de PRE/POST-ROUTING...
J'ai vu des schéma de ce qui se passe pour le routage dans le noyau,
mais je n'arrive pas à m'en servir intuitivement (c'est pour ça que je crois au projet KMyFirewall ) !

[ovh]

prerouting ne fait que rediriger les ports, mais tu n'auras jamais accès au réseau 10.0.0.0 depuis une machine 192.168.0.x Pour y avoir accès tu dois masquerader cette adresse (postrouting -j masquerade) et faire le forwarding mais tu m'as dit que tu acceptais tout donc à ce niveau-là pas de problème. Et quand tu auras masqueradé ça, tu n'auras plus besoin de rediriger les ports puisque tu t'adresseras directement à http://10.0.0.138

Ce serait intéressant de nous montrer la table de routage de ta passerelle (route -n)

[Kimael]

Je posterai de chez moi, ce soir...
Merci beacoup en tout cas : j'y vois plus clair
(et ce n'est que le début de la résolution du problème ) !

[Kimael]

Voilà mes tables de 'routage' :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
[root@pc2shakira root]# route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
[root@pentium75 root]# route -n
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
193.253.160.3   0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.0.0.0        0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         193.253.160.3   0.0.0.0         UG    0      0        0 ppp0

Je vais essayé de me débrouiller avec le POSTROUTING & co.
Je ferai un rapport ici XD

\o/ CA MARCHE \o/

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -d 10.0.0.138 -o eth0 -j MASQUERADE

[malek]

Bonsoir,

J'ai recement appris qu'on pouvait trifouiller le modem à l'adresse http://10.0.0.138.

oui c'est vrai, j'ai un SpeedTouch Home te je l'ai transformé en modem/routeur, firewall, dhcp, dns, nat..........
pour plus d'info : www.forpage.com

[ovh]

\o/ CA MARCHE \o/

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A POSTROUTING -t nat -s 192.168.0.0/24 -d 10.0.0.138 -o eth0 -j MASQUERADE

Héhé...

Je me suis permis de mettre un [Résolu] alors

[Kimael]

j'ai un SpeedTouch Home te je l'ai transformé en modem/routeur, firewall, dhcp, dns, nat..........
pour plus d'info : www.forpage.com

Merci beaucoup, je vais lire tout ça...

Je me suis permis de mettre un [Résolu] alors

Méeuh, j'ai pas eu le temps de réagir euh
T'as de la chance d'être Modo