Yep, salut, bonjour, hello !
 
J'ai recompilé le noyau 2.6.14 sans module avec les options "Networking packet filtering"  et "IP tables support" mais ça ne marchait pas, alors j'ai voulu mettre en place des règle avec iptables, mais ça ne fonctionne toujours pas.
 
Sur la station Windows, j'ai créé un réseau de petite entreprise et spécifié l'adresse réseau, le masque, la passerelle
 
J'ai un hub entre la station windows et la station Gnu/LInux (Debian)
 
J'ai utilisé différentes règles iptables ... voici la dernière ...  
 

 
Cependant, j'ai déjà partagé ma connexion sans mettre en place de règle iptables ... alors, je ne sais plus quoi faire ! ... pourquoi ça ne fonctionne pas !  
 
 
L'objectif, est de partager tous simplement la connexion ... je ne souhaite filtrer quoi que ce soit.

Si l'idée est de partager ta connexion à partir de ta Debian, tu peux te servir de ça :
 
http://formation-debian.via.ecp.fr/apo.html

 
 
Yep ! Merci .... aurais tu une idée de ce à quoi correspond la config de firewall du noyau ?
Je n'ai pas de firewall dans mon noya 2.6.14, mais j'ai du filtering .. tout actif, ça le fait ?

1. As tu activé le routage sur ta box ? sysctl -w net.ipv4.ip_forward=1
2. C'est quoi cette adresse 193.168.1.5, si c'est pour une adresse de ton LAN privé, c'est crade ou alors c'est une erreur.
3. un traceroute sur l'adresse IP de google te donne quoi ?

J'ai pas la box

Ca doit être une erreur

Warning : google.fr has multiple addresse;

Sur ton linux
box différent de freebox/livebox/neufbox/alicebox !!! box = boite en anglais, par exemple serveur, pc... bref... Tu l'as activé le forwarding sur ton PC/routeur ???

Et cette erreur elle se situe où ?
Dans ton script, dans ton adressage, quand tu as recopié ?

Et ben t'en prends une parmis elle

par exemple : traceroute -n 216.239.59.104

Yes alors, j'ai mis ip_forward=yes dans le fichier /etc/network/option

J'ai choisi cette adresse par commodité.  

 
1 * * *
2 * * *
Ca me sort que des astérisques  

que donne sysctl net.ipv4.ip_forward    ?
On n'utilise plus le fichier là depuis debian etch. Tu utilises quelle version ? On utilise le fichier /etc/sysctl maintenant.
cf Les infos sont dans le /usr/share/doc/netbase/README.Debian
 
normalement tu as juste à décommenter cette ligne  

pour qu'au reboot le forward IPv4 soit activé.
 
 
Pour le faire en live (sans rebooté) c'est avec la commande que je t'ai indiqué au dessus.
Donc il faut faire les deux
1. tu fais la commande et tu vérifies qu'elle est bien prise en compte

doit rendre

 
Comprend pas... c'est une erreur ou c'est réellement cette adresse là que ta machine windows a ?
Pourrais tu décrire schématiquement ton réseau avec ton adressage ?
 

pourrais tu exécuté les commandes suivantes:

et copier les résultats ici ?

 
Je reboote    
 

 
Je te fait un dessin ...  
 

 
dans l'ordre ...
 
 

 
Idem pour iptables - nat -L
 
Rien de configuré, ou presque pour le moment

1. Le routage est bien activé.
2. Ton interface faisant face au windows est down...
3. Pourquoi tu n'as pas remis ton script iptables du début ?

Parce qu'il à l'air de planter l'accès à la machine en question qui est aussi mon serveur web
 
 

Bon, manque un 1 à l'adresse de eth0 sur le schéma uniquement

Il ne fait pas "planter" l'accès à la machine, c'est juste que ta politique par défaut est de tout dropper est tu n'autorise nul part dans la chaine input le port 80 en destination pour le service HTTP.
 
et chose horrible que je viens dont je viens de m'apercevoir :

 
heu... n'importe quoi /0 équivaut à 0.0.0.0/0 soit => TOUT !
donc tes 3 règles au dessus interdit TOUT trafic INPUT malgré les règles qui suivent

Seconde chose 193.0.0.0/8 n'est pas un subnet que tu peux utilisé comme ca, il appartient à des gens.
 
Pour les LAN qui doivent etre en adressage privé tu as la RFC 1918 qui recommande les subnets suivant
10.0.0.0/8
192.168.0.0/16
172.16.0.0/12
 
 
A toi de les découper comme bon te semble. Mais tu n'as pas besoin, à ton niveau de taper autre part
 
par exemple tu peux prendre d'une part 192.168.0.0/24 et 192.168.1.0/24 ca sera pareil et ca sera plus propre.
 

Donc si je reprends
1. Ton adressage => tu le revois pour ne pas utiliser d'adresse autres que les 3 subnets que je viens te préciser
2. tu configures le fichier /etc/sysctl.conf comme je te l'ai dit
3. Tu revois la notation CIDR pour le /0 parce que la tu as fait n'importe quoi
4. Tu revois ton script iptables en fonction de tout ca
 
 
En résumé ton script iptables toi ressembler au minimun à ca:

 
 
Lit un minimun de doc sur iptables/netfilter en particulier le site http://christian.caleca.free.fr/netfilter/

 
Copié dans un script de démo.
 
Merci pour toute ces info et conseil !
J'ai mis 192.168.0.x pour le local
je n'ai pas pris la peine de regarder les RFC et doc d'ip table, cependant j'avais un autre sript en stock que j'ai testé avant de me lancer dans les grandes lectures ... qui ne fonctionne pas non plus   . C'est aussi un script de démo. Mais qu'en penser en fait ?
 

#!/bin/sh 
 
 
 
IPTABLES=/sbin/iptables 
 
$IPTABLES -F 
$IPTABLES -X 
$IPTABLES -t nat -F 
$IPTABLES -t nat -X 
$IPTABLES -P INPUT DROP 
$IPTABLES -P FORWARD ACCEPT 
$IPTABLES -P OUTPUT ACCEPT 
 
# input rules 
 
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
$IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT 
$IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT 
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT 
$IPTABLES -A INPUT -p icmp -j ACCEPT 
$IPTABLES -A INPUT -p igmp -j ACCEPT 
$IPTABLES -A INPUT -i lo -j ACCEPT 
$IPTABLES -A INPUT -j REJECT 
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE 
$IPTABLES -t nat -A PREROUTING -p tcp --dport 22 -i eth0 -j DNAT --to-destination 127.0.0.0:22 
$IPTABLES -t nat -A PREROUTING -p tcp --dport 4662 -i eth0 -j DNAT --to-destination 192.168.0.5:4662 
$IPTABLES -t nat -A PREROUTING -p udp --dport 4672 -i eth0 -j DNAT --to-destination 192.168.0.5:4672

 
Sur ce ... je me remet à la lecture .. merci encore !  
 
 
 

j'ai mis en place les règles que tu a posté o'gure ... ça ne marche pas non plus
 
Je pense que tout devrais être bon si les règles sont complète ... je ne sais pas ... mais bon ...  
 
je reprend ma lecture ... j
 
Dans le noyau, j'ai sélectionné  tout ce qi ce rapporte à la connection traking et IP tables support sauf OBSOLETE ... je ne sais pas si c'est bon

te servir du noyau fourni par défaut par débian est donc trop simple?

Yep !
 
En spécifiant le DNS à Windows aussi, ça fonctionne mieux.  
 
Merci o'gure