Forum Linux.debian/ubuntu Problème de connection au net du serveur suite à l'installation de iptables

Posté par  .
Étiquettes :
0
13
oct.
2006
Bonjour/Bonsoir,

J'ai un serveur sous debian utilisé pour la connection internet (serveur nat) et serveur ftp. J'essaie d'en configurer un autre (plus puissant) afin d'installer plus de choses (samba, serveur web...).

J'utilise l'installation netinstall tout se passe correctement, j'installe le noyau 2.6.18, je configure ma connection adsl grâce à pppoe, ça roule, et mon serveur dhcp3 fonctionne également.

Mais c'est là que ca se gâte je copie les fichiers iptables-start et iptables-stop pour avoir la connection internet sur les pc connectés au serveur , j'effectue un /etc/init.d/networking restart et vlan :


/etc/network/if-pre-up.d# /etc/init.d/networking restart
Setting up IP spoofing protection: rp_filter.
Reconfiguring network interfaces...ifup: interface lo already configured
iptables: No chain/target/match by that name
Plugin rp-pppoe.so loaded.
iptables: No chain/target/match by that name
done.


Déjà c'est ce petit message d'erreur qui me plait pas trop : iptables: No chain/target/match by that name et en plus je n'ai plus de connection internet au niveau du serveur !

Enfin quand je dis plus de connection, ce n'est pas tout a fait vrai :


kkauete:/etc/network/if-pre-up.d# ping free.fr
ping: unknown host free.fr
kkauete:/etc/network/if-pre-up.d# ping free.fr
kkauete:/etc/network/if-pre-up.d# ping 217.12.3.11
PING 217.12.3.11 (217.12.3.11) 56(84) bytes of data.
64 bytes from 217.12.3.11: icmp_seq=1 ttl=243 time=89.2 ms

--- 217.12.3.11 ping statistics ---
2 packets transmitted, 1 received, 50% packet loss, time 999ms
rtt min/avg/max/mdev = 89.223/89.223/89.223/0.000 ms


Bon a priori c'est des problèmes de DNS, mais ce problème n'a lieu que sur le serveur. Les pc connectés en dhcp sur le serveur eux ont accès au net. Le fichier resolv.conf contient bien les serveurs DNS de mon fournisseurs d'accès.

Avant de mettre les deux fichiers iptables je n'avait pas de problème...

Voici mon fichier iptables-start :

#!/bin/sh
# /etc/network/if-pre-up.d/iptables-start
# Script qui démarre les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/

# REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F


# DEBUT des "politiques par défaut"

# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP

# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
iptables -P FORWARD ACCEPT

# Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT

# FIN des "politiques par défaut"

# Accepte ce qui se passe sur le réseau local
iptables -A INPUT -s 192.168.3.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.3.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -j ACCEPT


# DEBUT des règles de filtrage

# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT

# J'accepte le protocole ICMP (i.e. le "ping")
iptables -A INPUT -p icmp -j ACCEPT

# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT

# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT

# FIN des règles de filtrage

# DEBUT des règles pour le partage de connexion (i.e. le NAT)

# Décommentez la ligne suivante pour que le système fasse office de
# "serveur NAT" et remplaçez "eth0" par le nom de l'interface connectée
# à Internet
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o ppp0 --clamp-mss-to-pmtu

# FIN des règles pour le partage de connexion (i.e. le NAT)

# DEBUT des règles de "port forwarding"
# FIN des règles de "port forwarding"


Merci de votre aide !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.