Forum Linux.général Shorewall et les pings

Posté par Vizié Renaud le 18 septembre 2004 à 10:13.

Étiquettes : aucune

sept.

2004

Bonjour,

J'ai un réseau poste à poste composé d'un modem route Bewan Ethernet vers Internet relié à un desktop sur Mandrake 10.0 Powerpack avec noyau 2.6.3-7 (BIG) par ethernet (interface ne DHCP demandé par tele2.fr), lui-même relié à un laptop sur Mandrake 9.2 avec noyau 2.4.22-26 (LITTLE) par wifi(réseau 192.168.0.0 avec 192.168.0.1 pour WLAN0 de BIG et 192.168.0.10 pour WLAN0 de LITTLE. Je n'est pas encore trouvé une solution pour que les pings de n'importe qu'elle machine vers n'importe quel endroit passent. Shorewall est installé sur les 2 machines. Mon souhait est de réussir à accéder au net depuis LITTLE, et de partager des ressources (dont l'imprimante sur BIG). Je décris les 4 cas de figures possibles.
____________________________________
*** shorewall sur LITTLE et sur BIG
LITTLE :
[root@little]# ping little (192.168.0.10)
OK
[root@little]# ping big (192.168.0.1)
From bigone.home (192.168.0.10) icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Operation not permitted
[root@little]# ping free.fr
unknown host free.fr

BIG :
[root@big]# ping little (192.168.0.10)
From bigone.home (192.168.0.1) icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Operation not permitted
[root@big]# ping big (192.168.0.1)
OK
[root@big]# ping free.fr
OK

___________________________________
*** shorewall sur LITTLE uniquement
LITTLE :
[root@little]# ping little (192.168.0.10)
OK
[root@little]# ping big (192.168.0.1)
From bigone.home (192.168.0.10) icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Operation not permitted
[root@little]# ping free.fr
unknown host free.fr

BIG :
[root@big]# ping little (192.168.0.10)
PING little (192.168.0.10) 56(84) bytes of data.
et il se met en attente sans rien renvoyer du tout
[root@big]# ping big (192.168.0.1)
OK
[root@big]# ping free.fr
OK

________________________________
*** shorewall sur BIG uniquement
LITTLE :
[root@little]# ping little (192.168.0.10)
OK
[root@little]# ping big (192.168.0.1)
From bigone.home (192.168.0.10) icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Operation not permitted
[root@little]# ping free.fr
unknown host free.fr
BIG :
[root@big]# ping little (192.168.0.10)
From bigone.home (192.168.0.1) icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Operation not permitted
[root@big]# ping big (192.168.0.1)
OK
[root@big]# ping free.fr
OK
__________________________
*** Sans shorewall du tout
LITTLE :
[root@little]# ping little (192.168.0.10)
OK
[root@little]# ping big (192.168.0.1)
OK
[root@little]# ping free.fr
PING free.fr (213.228.0.42) ... puis pas de réponse
--> La ce n'est pas normal, ils devraient passer ...

BIG :
[root@big]# ping little (192.168.0.10)
PING little (192.168.0.10) 56(84) bytes of data.
et il se met en attente sans rien renvoyer du tout
--> Idem, cela devrait passer
[root@big]# ping big (192.168.0.1)
OK
[root@big]# ping free.fr
OK

Au cela ce complique c'est que les arrêts et démarrage des services ont été faits par DrakXServices, donc comme avec service XXX start | stop.
Mais si je commence à passer par le Mandrake Control Center et l'onglet Sécurité -> Pare-feu, je n'ai plus les mêmes résultats. J'arrive à passer des pings depuis LITTLE vers BIG et vers le NET et donc à accéder à http ftp ... si Shorewall est inactif (service shorewall stop ou MCC Sécurité -> Pare-feu -> Tout) sur LITTLE et est actif sur BIG mais actif en passant par le MCC (avec oui pour serveur web , noms de domaines, ssh, cups, echo ping, et 111/udp 369/udp 7/udp 111/tcp 369/tcp 7/tcp). Mais dans ce cas ou tout à l'air de bien se passer tout du moins du côté de LITTLE), et bien BIG ne peut pas pinger LITTLE et le message est : From big (192.168.0.1) icmp_seq=1 Destination Host Unreachable
ping: sendmsg: Operation not permitted.
Donc bref, selon plein de choses, les règles appliquer ne sont pas les mêmes, et en faisant un tour par #shorewall status , on voit :
Sep 17 16:33:34 all2all:REJECT:IN= OUT=wlan0 SRC=192.168.0.1 DST=192.168.0.10 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=1 DF PROTO=ICMP TYPE=8 CODE=0 ID=23403 SEQ=1
Donc la requete d'echo par icmp de type 8 a été rejeté par la règle all2all. Or si je regarde dans les regles, on voit que les ping devrait être accepter. Sur le site de shorewall, on lis que c'est peut-être à cause de la provenance (BIG a deux interfaces ppp0 et wlan0 et dans ce cas il ping de 192.168.0.1 vers 192.168.0.10 et c'est la que ca coincerais ...)
Bref je n'y comprends pas grand chose et de plus le partage avec NFS ne fonctionne pas. Est-il possible d'utiliser SAMBA / smb pour du poste à poste LINUX uniquement (sans windows) ?
Si vous avez des pistes de réflexions voire des solutions, je suis preneur et vous en remercie d'avance.

Renaud

# Re: Shorewall et les pings

Posté par adibou le 18 septembre 2004 à 11:28. Évalué à 1.

si BIG est ta passerelle d'acces au net, a mon avis shorewall ne sert pas sur LITTLE.

maintenant, il me semble que si tu met "nameserver 192.168.0.1" dans /etc/resolv.conf sur LITTLE, que tu declare BIG comme gateway de LITTLE (c'est dans /etc/conf.d/net sur gentoo, je ne peux pas te dire sur mandrake).

Et sur BIG, tu autorise tout traffic partant de loc (loc correspondant a wlan0)
"loc all ACCEPT" dans /etc/shorewall/policy
tu pourras faire les pings. apres, pour pinguer l'exterieur, le plus simple c'est
"fw all ACCEPT", mais c pas super genial secure ultime :/
enfin, j'ai
net all DROP
all all REJECT

et j'autorise les connec venant du net ds rules (ssh et redirection de ports pour aller vers LITTLE pour gnomemeeting par ex...)

voila, j'espre que j'ai compris ce que tu ddais et que ca peut t'aider :)
- [^] # Rien à voir...
  
  Posté par fred point le 18 septembre 2004 à 12:38. Évalué à 1.
  
  Ces les gens (comme toi,comme moi) qui ont une gentoo qui font du support sur Mandrake...
- [^] # Re: Shorewall et les pings
  
  Posté par fred point le 18 septembre 2004 à 12:55. Évalué à 1.
  
  >si BIG est ta passerelle d'acces au net, a mon avis shorewall ne sert pas sur LITTLE.
  
  Mais grave ! Minimise dans un premier temps tes problèmes et vire ce Shorewall sur LITTLE que je ne saurais voir... Si vraiment après la paranoïa t'envahit à nouveau réactive et résous à ce moment les problèmes qu'il engendre.
  
  Sinon, en effet, j'ai eu des impressions bizarres avec Shorewall lors de sa désactivation. J'ai eu plus que l'impression qu'il n'arrêtait pas complètement son filtrage. Mais je ne l'ai pas chez moi et je n'ai pas poussé les tests plus en avant...
  - [^] # Re: Shorewall et les pings
    
    Posté par Vizié Renaud le 18 septembre 2004 à 15:26. Évalué à 1.
    
    C'est déja fait ! Mais voyant qu'avec la configuration avec shorewall sur BIG et rien sur LITTLE, j'avais ce problème de ping de BIG vers LITTLE, je m'étais dit que faire des tests n'était pas une mauvaise chose en soi...
    Mais en effet lors de sa désactivation sur les 2, les problèmes persistent. Faut dire que dans DrakXServices, iptables est marqué comme arrêté (mais coché au démarrage) est que l'on ne peut pas l'activer ,seulement l'arrêter...
    Et comme je l'ai dis c'est apparemment différent d'arrêter les firewall par DrakXServices que par l'outil de config du MCC. Et cela est vraiment mystérieux pour moi.
    Merci en tout cas.
- [^] # Re: Shorewall et les pings
  
  Posté par Vizié Renaud le 18 septembre 2004 à 15:56. Évalué à 1.
  
  Génial ca marche !!!
  Et cela ne pouvait que fonctionner car un réseau en tcp/ip et un firewall (shorewall en l'occurence) sous Gentoo ou sous Mandrake, c'est la même chose ;-)
  Mais est-ce que cela est nécessaire pour la mise en place de mes partages SAMBA ?
  - [^] # Re: Shorewall et les pings
    
    Posté par adibou le 18 septembre 2004 à 17:51. Évalué à 1.
    
    les regles
    loc all ACCEPT
    fw all ACCEPT
    font que tout est autorise sur le reseau local (en particulier si le srv samba est sur la passrelle)
    - [^] # Re: Shorewall et les pings
      
      Posté par Vizié Renaud le 18 septembre 2004 à 21:08. Évalué à 1.
      
      Ok j'ai bien fait tout les changements. Mais pour SAMBA, j'ai lu le howto smb et apparemment SAMBA n'ai pas fait pour se connecter à des clients UNIX mais à des Windows, comme il me semblait. Mais je veux bien avoir confirmation du contraire.
      Je me suis donc rabatu sur un serveur NFS sur BIG et un client sur LITTLE. Mais en montant mon répertoire depuis LITTLE par:
      mount -t nfs -o "rsize=1024" bigone:/home/renaud /mnt J'ai le message:
      Failed to mount /mnt . mount : RPC : Unable to receive; errno = Connection refused
      Pourtant tout à l'air bon dans /etc/exports . C'est surement le firewall. Alors j'ai regardé avec un shorewall status et il me sort :
      Sep 18 20:53:43 all2all:REJECT:IN=wlan0 OUT= SRC=192.168.0.10 DST=192.168.0.1 LEN=120 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=742 DPT=626 LEN=100
      ou
      Sep 18 21:06:10 all2all:REJECT:IN=wlan0 OUT= SRC=192.168.0.10 DST=192.168.0.1 LEN=120 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=851 DPT=626 LEN=100
      
      Comment puis-je dire à shorewall de laisser passer NFS ?
      
      Merci d'avance ;-)
# samba entre 2 linux => NP ;)

Posté par fred point le 18 septembre 2004 à 12:46. Évalué à 1.

Bref je n'y comprends pas grand chose et de plus le partage avec NFS ne fonctionne pas. Est-il possible d'utiliser SAMBA / smb pour du poste à poste LINUX uniquement (sans windows) ?

Sans aucun problème

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.