Forum Linux.debian/ubuntu [Ubuntu] NAT assez capricieux

Posté par  .
Étiquettes :
0
15
jan.
2006
Cet ordinateur sous breezy est connecté à wanadoo avec un modem sagem, et doit offrir un NAT aux autres PCs du réseau.
Après l'installation des pilotes eagle-usb pour le noyau 2.6.12-10-386 (les paquets de la ubuntu sont défectueux), j'ai lancé le NAT par le fameux :
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Le ping passe sans problème, mais une bonne moitié de sites ne fonctionnent pas, et ce pour tous les protocoles (http, pop, ...). Le ping passe, la connection se fait (testé avec telnet sur le port), mais le serveur ne semble pas répondre aux requêtes !
Entre temps, j'ai mis un proxy http logiciel, mais ce n'est pas la solution (pop.free.fr par exemple ne répond pas, et je n'ais pas envie d'installer 20 proxies) J'essaie de recomplier un 2.6.15 tout frais en espérant que c'est un bug du noyau mais je suis vraiment dans le vague.

Quelqu'un a-t-il une explication rationnelle ?
  • # Taille des packets réseaux

    Posté par  (site web personnel) . Évalué à 3.

    Ton probleme ressemble à un problème de taille de packet, genre 1500 depuis le réseau au lieu de 1492.
    • [^] # Re: Taille des packets réseaux

      Posté par  . Évalué à 1.

      En effet, le problème vient bien de là !

      Solution : rajouter
      iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o ppp0 --clamp-mss-to-pmtu

      Bizarre que ça ne se manifestait pas avant !
  • # eth0

    Posté par  . Évalué à 1.

    Il me semble que tu dois également postrouter ce qui passe par ton interface réseau interne.
    Par exemple :
    iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
    En supposant que tes PC soient en 192.168.1.* et que le PC ayant la connexion internet soit relié au réseau interne par eth0
    • [^] # Re: eth0

      Posté par  (site web personnel) . Évalué à 1.

      Ce n'est pas nécessaire. Mais il peut manquer autre chose dans les appels à iptables. Il est difficile de se faire une opinion à partir d'une seule ligne.
  • # alexis delattres

    Posté par  . Évalué à 2.

  • # DHCP, DNS and co...

    Posté par  . Évalué à 2.

    J'ai un pc qui fait NAT + un petit peu de routing pour les protocoles qui ne fonctionnent pas avec un NAT (FTP, IRC). Je rappelle que le NAT est un truc batard... et que la solution propre pour le partage de connexion à Internet est IPv6.
    Normalement, le masquerading sur ton interface ppp devrait être suffisant. Par contre, il faut que les autres ordi soient configurés proprement.
    Perso, j'ai installé un serveur dnsmasq qui fait comme son nom l'indique du marsquerading de DNS mais aussi serveur DHCP, ce que son nom n'indique pas. Si tu as une debian(Ubuntu?), il suffit d'installer le paquet dnsmasq avec apt et ensuite il faut le configuer avec ce que tu veux en faire dans les fichiers de conf dans /etc... si le nouveau debian installer ne te propose déjà pas un dialogue de configuration. Si tu ne souhaites pas avoir un serveur qui autoconfigure les ordis sur ton réso, il faut que tu les configures statiquement, c'est à dire avec une adresse IP en dure que tu auras choisie et les adresses IP des serveurs DNS de ton fournisseur d'accès (dans /etc/resolv.conf)
    Cela dit, il me semble qu'il existe des interfaces graphiques pour configurer le firewall de linux.
    Aujourd'hui les *box récentes de quasiment tous les fournisseurs d'accès ont un mode routeur. Si tu es chez un tel founisseur, demande la *box correspondante, tu te prendras pas la tête. Mais c'est vrai que c'est très interessant de configurer tout ça par soit-même car cela permet de voir un petit peu ce qui s'y passe.
    Un petit rappel: la pétition pour inciter free à passer en IPv6 http://ipv6pourtous.free.fr/ Donc SVP si vous êtes chez free ou connaissez quelqu'un chez free, faites lui passez le message (attention, il faut être près à payer un ¤ supplémentaire pour que la signature compte... allez un petit effort, car dès qu'un fournisseur significatif sera en IPv6 tous les autres suivront!)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.