route (résolu)

route (résolu) - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 16-04-2003 à 18:40:46    

salut
 
Pouvez vous me donnez des liens vers des bons How to concernant la gestion des route ,ou iproute .
 
Il y en a un paquet sur google ,je sais pas vraiment lequel choisir  
 
Merci


Message édité par Vibidoo le 23-04-2003 à 18:19:53
Reply

Marsh Posté le 16-04-2003 à 18:40:46   

Reply

Marsh Posté le 17-04-2003 à 11:22:02    

ben tu fais comme tout le monde lol t'en lis quelques un au pif c'est comme ca qu'on fait en general non :D
 
@++

Reply

Marsh Posté le 17-04-2003 à 11:27:09    

lis le man et/ou expose ton problème

Reply

Marsh Posté le 17-04-2003 à 11:30:31    

ok j'exposerais plus tard , je dois me casser la

Reply

Marsh Posté le 17-04-2003 à 15:16:00    

Bon voilà mon réseau actuel  
 
http://www.ssun.firstream.net/linux/gif/schema-reseau2.gif
 
La partie du haut , Firewall_1 et UC1 fonctionne depuis 7 mois .
 
Et je viens d'installer la partie bas :  
 
Firewall_2 , UC2 .
 
En ce moment je me sers de IPtables pour faire du forwarding , donc UC1 accède à internet sans problème .
 
Firewall_2 peux pinger une addresse web .
 
Avant d'activer iptables sur Firewall_2 je voulais juste faire du routage .
 
Ma table de routage est  

Code :
  1. Kernel IP routing table
  2. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  3. 192.168.0.0      *               255.255.255.0   U     0      0        0 eth0
  4. 193.2.1.0        *               255.255.255.0   U     0      0        0 eth1
  5. default          192.168.0.20    0.0.0.0         UG    1      0        0 eth0


 
UC2 peux pinger l'addresse Eth0 de Firewall_2 .
Mais UC2 peux pas pinger Eth0 Firewall_1  
 
je pensais mettre :

Code :
  1. route add -net 192.168.0.0 gw 193.2.1.12 netmask 255.255.255.0


Mais ça passe toujours pas


Message édité par Vibidoo le 17-04-2003 à 15:28:06
Reply

Marsh Posté le 18-04-2003 à 09:38:15    

:bounce:


Message édité par Vibidoo le 18-04-2003 à 09:39:11
Reply

Marsh Posté le 18-04-2003 à 09:48:22    

#Ping
$IPTABLES -A FORWARD -s 193.2.1.0/24 -i eth1 -o eth0 -p icmp --icmp-type ping -j ACCEPT
 
sur ton firewall pour laisser passer  les pings, sinon ben logs se qui est droppé et regarde de ce coter la ...
 
Pour ce qui est de la table de routage, la 1ere, me paraissait bonne, la seconde par contre oblige tout le traffic du rezo 192.168.0.0 a passer sur la 1er gateway, ce qui n'est pas une bonne idée.

Reply

Marsh Posté le 18-04-2003 à 11:30:55    

Salut Aragorn_1er
 
Sur Firewall_2 , je vais activer iptables plus tard , je voudrais dabors travailler sur le routage .
 

Citation :


Pour ce qui est de la table de routage, la 1ere, me paraissait bonne, la seconde par contre oblige tout le traffic du rezo 192.168.0.0 a passer sur la 1er gateway, ce qui n'est pas une bonne idée.


tu parles de  
 
route add -net 192.168.0.0 gw 193.2.1.12 netmask 255.255.255.0  
 
 
Pour la commande ci-dessus , je pensais que ça voulais signifier que tout les broadcasts vers le réseau 192.168.0.0 doivent passer par la passerelles 193.2.1.12 , si les machines sont sur le sous réseau 193.2.1.0
Car une fois rajouter cette ligne ma table de routage devient  
 

Code :
  1. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  2. 192.168.0.0      193.2.1.12      255.255.255.0   UG    0      0        0 eth1
  3. 192.168.0.0      *               255.255.255.0   U     0      0        0 eth0
  4. 193.2.1.0        *               255.255.255.0   U     0      0        0 eth1
  5. default          192.168.0.20    0.0.0.0         UG    1      0        0 eth0


Message édité par Vibidoo le 18-04-2003 à 11:34:53
Reply

Marsh Posté le 18-04-2003 à 11:42:59    

à mon avis il faut que ton trafic par défaut passe par le firewall.
 
donc  

Code :
  1. route add -net 0.0.0.0 netmask 0.0.0.0 gw 193.2.1.12


 
enfin ca c pour l'acces au net au moins sinon tu pourra pas sortir de ton réseau a partir de uc2.la ca passe pas firewall2 et ensuite a toi de config la route du firewall2 vers firewall1 mais apparement c fait
 
enfin si faut pas accéder au net le fait pas.
 
mais sinon la syntaxe est plutot celle que j'ai mis il me semble
 
donc :
 

Code :
  1. route add -net 192.168.0.0 netmask 255.255.255.0 gw 193.2.1.12


 
et ca c'est pour l'acces au sous réseau 192.168 à partir de uc2, a travers le firewall2.


Message édité par sebounet le 18-04-2003 à 11:44:41
Reply

Marsh Posté le 18-04-2003 à 11:55:28    


Citation :


donc :
 
 
Code :
 
   
  route add -net 192.168.0.0 netmask 255.255.255.0 gw 193.2.1.12  
   
 
 
 
et ca c'est pour l'acces au sous réseau 192.168 à partir de uc2, a travers le firewall2.


exacte  
mais j'arrive pas à pinger UC1 avec UC2  
 
Pourtant UC2 ping eth0 de Firewall_2

Reply

Marsh Posté le 18-04-2003 à 11:55:28   

Reply

Marsh Posté le 18-04-2003 à 11:59:15    

La bonne table de routage c'est :

Citation :

 
 Kernel IP routing table
  Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
  192.168.0.0      *               255.255.255.0   U     0      0        0 eth0
  193.2.1.0        *               255.255.255.0   U     0      0        0 eth1
  default          192.168.0.20    0.0.0.0         UG    1      0        0 eth0


 

Citation :


route add -net 192.168.0.0 netmask 255.255.255.0 gw 193.2.1.12


 
Hum ... ca va plustot tourner en rond ton histoire etant donné que la machine dont on parle à l'adresse 193.2.1.12
 

Citation :

Pour la commande ci-dessus , je pensais que ça voulais signifier que tout les broadcasts vers le réseau 192.168.0.0 doivent passer par la passerelles 193.2.1.12 , si les machines sont sur le sous réseau 193.2.1.0
Car une fois rajouter cette ligne ma table de routage devient


 
par definition un broadcast s'adresse a toutes les machines de son reseau, voir la commande dhcp-relay, pour faire traverser des broadcast a travers une passerelle ( enfin ..dans le cas du dhcp evidement )
 
A+

Reply

Marsh Posté le 18-04-2003 à 13:43:23    

c normal que tu ping le firewall avec uc2 puisque vous etes sur le meme sous réseau.
 
si tu rajoute la route que je t'ai indiqué sur uc2 et que tu peux pas pinger uc1 c'est parce que ton firewall doit bloquer.
 
essaye un traceroute ou un truc genre telnet ou autre chose que le ping pour tester.
 
mais bon regarde du coté de ton firewall la config

Reply

Marsh Posté le 18-04-2003 à 22:50:28    

Sebounet a écrit :

c normal que tu ping le firewall avec uc2 puisque vous etes sur le meme sous réseau.
 
si tu rajoute la route que je t'ai indiqué sur uc2 et que tu peux pas pinger uc1 c'est parce que ton firewall doit bloquer.
 
essaye un traceroute ou un truc genre telnet ou autre chose que le ping pour tester.
 
mais bon regarde du coté de ton firewall la config


 
Sur Firewall_2 aucune règles iptables n'est actif , j'ai pas loadé les services iptables .
 
Si je les load et que je met juste :

Code :
  1. iptables -t nat -F
  2. iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED -j ACCEPT
  3. iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
  4. iptables -A FORWARD -j LOG
  5. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


 
j'accède à tout , internet , ping des deux sous réseaux depuis UC2.
 
MAIS , en ce moment je veut pas bosser sur iptables , juste sur le routage .
 
en faisant ce que tu as marqué :  

Code :
  1. route add -net 0.0.0.0 netmask 0.0.0.0 gw 193.2.1.12

 
sur FIREWALL_2  
 
ça passe toujours pas  
 
UC2 ne peux pas pinger UC1 et ne peux pas sortir sur le net  
 
( dans mon graphe , j'aurais du remplacer FIREWALL_2 par ROUTEUR)
:??:


Message édité par Vibidoo le 18-04-2003 à 22:50:57
Reply

Marsh Posté le 19-04-2003 à 00:28:56    

pourtant ca devrait fonctionner.
 
en faisant ce que je t'ai dit, ca fait que tout le trafic passera par le port que j'ai mis donc ton firewall2.
 
teste un traceroute pour voir ou ca coine et dis moi.
 
j te garantie pas de te réponre pdt le week end au fait sorry mais en cas demain matin oui
++

Reply

Marsh Posté le 19-04-2003 à 22:46:04    

Code :
  1. route add -net 0.0.0.0 netmask 0.0.0.0 gw 193.2.1.12

 
 
normal que ca marche pas, je vois pas ce que cette ragle a avoir la dedans.
en regle generale et pour ton reso en particulier tu n a pas a te soucier du routage si tu configure correcetement tes interfaces rezo avec les bonnes gateway, le bon reso, masque ... linux va te mettre les routes apropriés !
de toute facon si cela marche en activant des regles iptables simple ca n'est donc pas le routage qui est en question ...
 
A+

Reply

Marsh Posté le 20-04-2003 à 17:23:32    

sur firewall 1 fo que tu mette une route pour que 193.2.1.0/24 passe par le firewall 2

Reply

Marsh Posté le 21-04-2003 à 13:54:09    

Aragorn_1er a écrit :

Code :
  1. route add -net 0.0.0.0 netmask 0.0.0.0 gw 193.2.1.12

 
 
normal que ca marche pas, je vois pas ce que cette ragle a avoir la dedans.
en regle generale et pour ton reso en particulier tu n a pas a te soucier du routage si tu configure correcetement tes interfaces rezo avec les bonnes gateway, le bon reso, masque ... linux va te mettre les routes apropriés !
de toute facon si cela marche en activant des regles iptables simple ca n'est donc pas le routage qui est en question ...
 
A+


 
tu voit je suis pas du meme avis de toi.
si il n'a pas de bonne route par défaut comment veux tu que linux la devine ?
 
désolé mais fo la rentrer a la main (si tu l a pas fait pdt l install !!)

Reply

Marsh Posté le 21-04-2003 à 14:17:51    

Citation :


tu voit je suis pas du meme avis de toi.
si il n'a pas de bonne route par défaut comment veux tu que linux la devine ?
 
désolé mais fo la rentrer a la main (si tu l a pas fait pdt l install !!)

 
 
 

Code :
  1. route add -net 0.0.0.0 netmask 0.0.0.0 gw 193.2.1.12

 
 
pourkoi faire passer TOUT le traffic vers la gateway meme le traffic local c pas logique !
 
et pourkoi tu dis de rajouté des routes sur un client ? c est une heresie !
dans la conf de ta carte tu met la bonne gateway tu fait un ifup <detacarte> et c bon !
 
cherche pas a compliquer les choses ...
 
A+

Reply

Marsh Posté le 21-04-2003 à 16:34:16    

hey les gars , je m'y remet de main dessus , je suis pas chez moi ce wwek de paques  
 
merci pour votre aide.
 
inutile de se prendre la tete on bosse ensemble c'est super sympa

Reply

Marsh Posté le 21-04-2003 à 21:00:42    

Essaie de mettre ce que g dit plus haut ;)
En fait je pense que tes paquets arrivent à Firewall 1 mais le firewall ne connaissant pas ton réso 2, ben il envoie sur la route par défaut.
en mettant une route sur firewall1 pour qu'il dirige les paquets de ton réso 2 vers le firewall 2 ça devrait être bon ;)

Reply

Marsh Posté le 21-04-2003 à 23:55:43    

Aragorn_1er a écrit :

Citation :


tu voit je suis pas du meme avis de toi.
si il n'a pas de bonne route par défaut comment veux tu que linux la devine ?
 
désolé mais fo la rentrer a la main (si tu l a pas fait pdt l install !!)

 
 
 

Code :
  1. route add -net 0.0.0.0 netmask 0.0.0.0 gw 193.2.1.12

 
 
pourkoi faire passer TOUT le traffic vers la gateway meme le traffic local c pas logique !
 
et pourkoi tu dis de rajouté des routes sur un client ? c est une heresie !
dans la conf de ta carte tu met la bonne gateway tu fait un ifup <detacarte> et c bon !
 
cherche pas a compliquer les choses ...
 
A+  


 
euh non le trafic local a priori il passera pas par la route par défaut avec la config que je lui fait mettre.
 
je voit pas en koi c'est une hérésie de mettre une route sur un client, a partir du moment ou c'est pas la bonne il faut la changer c'est tout.
 
et à priori je pensait que si il pouvait pas accéder aux autres réseaux c'etait car il n'avait pas de route par défaut lui permettant de sortir de son réseau local.
 
"dans la conf de ta carte tu met la bonne gateway tu fait un ifup <detacarte> et c bon !"
 
bah c pareil en faisant route ... comme je lui ai dit.
 
mais bon c pas rentré dans la config il faut qu'il le modifie mais c'est pour tester pour le moment c'est tout.
 
après faut voir la config du firewall2 aussi mais bon j'avoue que faudrait que je me plonge dedans et pour le moment a part te répondre a toi lol ;)
 
enfin voilou.
 
 
bon mais sinon ca en est ou maintenant ca marche ou pas ?

Reply

Marsh Posté le 22-04-2003 à 01:51:30    

Une station cliente a une IP, un masque et une passerelle c tout... Le reste se fait sur les serveurs...
 
Peux tu mettre ton fichier de copnfig iptable de firewall_1 ?
 
Même si tu as l'impression qu'iptable n'est pas là, je te conseille de vérifier en tapant iptables -L en vérifant qu'il y'a bien accept partout sur le firewall_2
 
De plus attenetion, 193.x.x.x n'est ps une adresse autorisée pour les rso locaux... ce qui peut porter à conflits...
 
voici un exemple
 
UC2 :
ip : 192.168.1.100
masque : 255.255.255.0
gw : 192.168.1.10
 
FIREWALL_2 (routage activé):
eth0 :
Ip : 192.168.1.10
masque : 255.255.255.0
 
eth1 :
ip : 192.168.2.80
masque : 255.255.255.0
 
gw : 192.168.2.20 pour tt sauf 192.168.1.0 et 192.168.2.0
 
UC1 :  
ip : 192.168.2.61
masque : 255.255.255.0
gw : 192.168.2.20
 
FIREWALL_1 :
eth0 :  
ip : 192.168.2.20
masque : 255.255.255.0
 
eth1 :
ip : provider
masque : provider
 
gw :
tout ce qui doit aller vers le net vers ip_provider
tout ce qui doit aller vers 192.168.1.0 vers 192.168.2.80
 
Tu as ainsi 2 ss rso 192.168.2.0 et 192.168.1.0 qui sont des adresses autorisées pour le rso local et qui ne sont pas censés se voir...
 
J'éspère que j'ai bien compris ce que tu voulais  :sarcastic: chui fatigué après un WE pareil


Message édité par cedcox le 22-04-2003 à 02:00:57
Reply

Marsh Posté le 22-04-2003 à 09:09:35    

cedcox a écrit :

Une station cliente a une IP, un masque et une passerelle c tout... Le reste se fait sur les serveurs...
 


 
dans un but de TEST on peut mettre une route par défaut sur une machine cliente.
 
c'est comme de mettre une gateway sauf que c temporaire, c pour TESTER vous comprenez ou koi ??!!!

Reply

Marsh Posté le 22-04-2003 à 09:11:56    

Citation :


dans un but de TEST on peut mettre une route par défaut sur une machine cliente.
 
c'est comme de mettre une gateway sauf que c temporaire, c pour TESTER vous comprenez ou koi ??!!!

 
 
Ca ne sert a rien de rajoutés des pbs là où il y en a pas !
En l'occurence ici sur les clients ...
 
A+

Reply

Marsh Posté le 22-04-2003 à 09:25:19    

c'est peut etre un problème pour ceux qui comprennent pas
 
de toute facon tant qu'il nous dit pas ou il en est ca sert à rien de discuter

Reply

Marsh Posté le 22-04-2003 à 09:35:01    

sinon pour ta gateway sur uc2  
 
tu edite /etc/sysconfig/network
 
et tu met :
GATEWAY=193.2.1.12

Reply

Marsh Posté le 23-04-2003 à 17:10:44    


 
Je@nb

Citation :


En fait je pense que tes paquets arrivent à Firewall 1 mais le firewall ne connaissant pas ton réso 2, ben il envoie sur la route par défaut.
en mettant une route sur firewall1 pour qu'il dirige les paquets de ton réso 2 vers le firewall 2 ça devrait être bon  


 
J'ai bossé sur Firewall_1  
 
j'ai mis toute les règles Iptables  
en  

Code :
  1. iptables --flush
  2. iptables --table nat --flush
  3. iptables --delete-chain
  4. iptables --table nat --delete-chain
  5. iptables -P INPUT ACCEPT
  6. iptables -P OUTPUT ACCEPT
  7. iptables -P FORWARD ACCEPT


 
( pour test )
 
Et c'est pareil je ping pas uc1
 

Reply

Marsh Posté le 23-04-2003 à 17:34:49    

Pas bosser au nivo iptables, g di faire une route pour 192.168.1.0/24

Reply

Marsh Posté le 23-04-2003 à 17:55:53    

en fait je voulais pas trop bosser sur Firewall_1 ,donc je l'ai éteint pour les besoins du test .
 
ok je vais aussi lui balancer une route.
 
 
Mais je crois que ma route d'origine sur firewall_2 est bonne et que je vais juste activer iptables pour que ça marche


Message édité par Vibidoo le 23-04-2003 à 17:56:56
Reply

Marsh Posté le 23-04-2003 à 18:11:40    

ok  
 
c'est bon c'étais bien ça  
 
j'ai balancé sur firewall_1  

Code :
  1. route add -net 193.2.1.0 gw 192.168.0.12 netmask 255.255.255.0


 
Donc c'étais bien Firewall_1 qui bloquait .
 
Mais je pensais qu'en l'éteignant , il ne bloquerait rien !!
 
merci ,:jap:

Reply

Marsh Posté le 23-04-2003 à 18:33:55    

en l'eteignant, UC1 n'avait plus de passerelle donc ne trouvait plus le moyen d'eter redirigé vers ton rso2... de plus, je sais que je me répète mais atention aux adresses qui ne sont pas faites pour les réseaux locaux  :hello:


---------------
Les hommes se trompent, les preuves elles, ne mentent jamais...
Reply

Marsh Posté le 23-04-2003 à 18:40:29    

Au fait en parlant des adresses , on risque quoi ?

Reply

Marsh Posté le 23-04-2003 à 18:46:03    

vibidoo a écrit :

Au fait en parlant des adresses , on risque quoi ?


 
un truc tout bête si tu veux aller sur un site dont l'adresse est 193.2.1.x (je ne sais pas si cela existe à vrai dire) ton firewall redirigera la requête vers ton 2eme rso local alors qu'elle aurait du être redirigé vers le net. De plus, si de ton 2eme rso tu veux acceder à ce même site, il cherchera une machine en local puisque la requête ne sera pas plus redirigé vers le net...


---------------
Les hommes se trompent, les preuves elles, ne mentent jamais...
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed