Swisslinux.org

− Le carrefour GNU/Linux en Suisse −

 

Langue

 

Le Forum

Vous n'êtes pas identifié.

#1 21 Feb 2015 17:51:17

Postroutine
Admin
 
Date d'inscription: 16 Feb 2015
Messages: 195

[Résolu] Problème de NAT

Hello. _o/

J'ai un petit problème réseau avec un mon routeur. Celui-ci tourne sous la distribution OpenWRT 14.07.

Certains paquets transitant du réseau Lan au réseau Wan gardent leur adresse ip source en 192.169.1.X. Comme ces paquets ont pour adresse mac source celle de l'interface connectée au réseau Wan mais une IP qui ne correspond pas à celle de cette même interface, les équipements réseau de mon FAI ont tendance à me couper la ligne dans ces moments là. sad

J'ai regardé les règles IPTables de mon routeur, mais le masquage d'IP est activé:

Code:

Chain zone_wan_postrouting (1 references)
target     prot opt source               destination         
postrouting_wan_rule  all  --  anywhere             anywhere             /* user chain for postrouting */
MASQUERADE  all  --  anywhere             anywhere

Quelqu'un aurait-il une idée?

Dernière modification par Séb (19 Mar 2015 10:28:55)


Séb (Pas le président, l'autre)

Hors ligne

 

#2 21 Feb 2015 19:45:04

Trim
Gourou(e) du libre
Lieu: Saxon, Valais
Date d'inscription: 17 Oct 2007
Messages: 364
Site web

Re: [Résolu] Problème de NAT

Hello,

J'ai aussi openwrt 14.07 sur mon routeur, mais je l'ai configuré avec leur interface web (Luci). J'ai essayé de voir mes règles iptables et je n'ai aucune ligne avec "MASQUERADE", malgré que l'option soie activée pour la zone wan.

Toutes les lignes que j'ai en rapport avec cette zone sont (sans les filtres d'entrée):

Chain zone_wan_output (1 references)
target     prot opt source               destination         
output_wan_rule  all  --  anywhere             anywhere             /* user chain for output */
zone_wan_dest_ACCEPT  all  --  anywhere             anywhere           

Chain zone_wan_src_REJECT (1 references)
target     prot opt source               destination         
reject     all  --  anywhere             anywhere

Hors ligne

 

#3 21 Feb 2015 19:49:52

Postroutine
Admin
 
Date d'inscription: 16 Feb 2015
Messages: 195

Re: [Résolu] Problème de NAT

As-tu regardé directement dans la table nat: iptables -L -t nat    ?


Séb (Pas le président, l'autre)

Hors ligne

 

#4 21 Feb 2015 20:06:54

Trim
Gourou(e) du libre
Lieu: Saxon, Valais
Date d'inscription: 17 Oct 2007
Messages: 364
Site web

Re: [Résolu] Problème de NAT

ah oui, effectivement, je n'avais utilisé que l'option '-L'. J'ai donc la même chose :

Chain zone_wan_postrouting (1 references)
target     prot opt source               destination         
postrouting_wan_rule  all  --  anywhere             anywhere             /* user chain for postrouting */
MASQUERADE  all  --  anywhere             anywhere

Mmmhh, je sais que j'ai aussi désactivé le "MSS Clamping" sur toutes mes zones, mais je ne me rappelle plus pourquoi je l'ai fait.

Hors ligne

 

#5 22 Feb 2015 05:15:51

Postroutine
Admin
 
Date d'inscription: 16 Feb 2015
Messages: 195

Re: [Résolu] Problème de NAT

J'ai mis à jour mon routeur, J'ai pris une version de dév d'OpenWRT.

Elle règle plusieurs problèmes, dont celui des paquets qui gardaient comme IP source une IP du réseau local.

Par contre, en détectant avec tcpdump les paquets en sortie qui ont la bonne adresse mac source mais par la bonne adresse IP source, j'ai toujours des paquets comme ceci:

Code:

03:31:39.407931 aa:aa:aa:aa:aa:aa > ff:ff:ff:FF:FF:FF, ethertype ARP (0x0806), length 42: Ethernet (len 6), IPv4 (len 4), Request who-has YYY.YYY.YYY.YYY tell XXX.XXX.XXX.XXX, length 28

Où:
- aa:aa:aa:aa:aa:aa est l'adresse mac de mon interface Ethernet connecté au réseau du FAI.
- ff:ff:ff:FF:FF:FF est l'adresse mac d'un équipement de mon FAI. La machine où se trouve leur serveur DHCP, je présume.
- YYY.YYY.YYY.YYY est l'adresse IP correspondant à l'adresse mac du même équipement du FAI que cité la ligne au dessus.
- XXX.XXX.XXX.XXX est mon adresse IP public.

Mais je ne sais si c'est normale ou pas.

Quand mon routeur fait n'importe quoi, les équipements de mon FAI bloquent ma connexion.
Depuis la mise à jour, je n'ai eu qu'une coupure nette (nécessitant une ré-initialisation de la connexion)
et plusieurs très courtes coupures où tout revient vite à la normal.
Je ne sais pas si les paquets détectés par tcpdump sont la cause ou la conséquence de ces micro-coupures.

Dernière modification par Séb (22 Feb 2015 05:19:17)


Séb (Pas le président, l'autre)

Hors ligne

 

#6 22 Feb 2015 05:25:55

Postroutine
Admin
 
Date d'inscription: 16 Feb 2015
Messages: 195

Re: [Résolu] Problème de NAT

Rectification, en voilà deux:

Code:

03:44:00.095703 aa:aa:aa:aa:aa:aa >ff:ff:ff:FF:FF:FF, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 30929, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.7.237.57912 > vvv.vvv.vvv.vvv.vvvv: Flags [R.], cksum 0x844f (correct), seq 2600988415, ack 2178291637, win 1040, options [nop,nop,TS val 6003192 ecr 844889508], length 0
03:44:00.120923 aa:aa:aa:aa:aa:aa > ff:ff:ff:FF:FF:FF, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 63, id 6495, offset 0, flags [DF], proto TCP (6), length 52)
    192.168.7.237.61356 > zzz.zzz.zzz.zzz.zzzz: Flags [R.], cksum 0xccf8 (correct), seq 2701944257, ack 1628634018, win 1040, options [nop,nop,TS val 6003218 ecr 299991797], length 0

Si quelqu'un a une idée, je suis preneur.


Séb (Pas le président, l'autre)

Hors ligne

 

#7 25 Feb 2015 23:49:28

Postroutine
Admin
 
Date d'inscription: 16 Feb 2015
Messages: 195

Re: [Résolu] Problème de NAT

J'ai finalement créé un rapport de bogue chez OpenWRT: https://dev.openwrt.org/ticket/19050

On verra bien.

Dernière modification par Séb (25 Feb 2015 23:49:43)


Séb (Pas le président, l'autre)

Hors ligne

 

#8 01 Mar 2015 09:27:38

Postroutine
Admin
 
Date d'inscription: 16 Feb 2015
Messages: 195

Re: [Résolu] Problème de NAT

Serait-il possible, avec IPTables, de bloquer ces paquets non masqués?


Séb (Pas le président, l'autre)

Hors ligne

 

#9 01 Mar 2015 10:04:18

Postroutine
Admin
 
Date d'inscription: 16 Feb 2015
Messages: 195

Re: [Résolu] Problème de NAT

J'ai pensé à cette règle:

Code:

iptables -t nat -A POSTROUTING -o eth0 -s ! XXX.XXX.XXX.XXX -m mac --mac-source aa:aa:aa:aa:aa:aa -j DROP

Mais j'obtiens cette erreur:

Code:

Bad argument: XXX.XXX.XXX.XXX

Séb (Pas le président, l'autre)

Hors ligne

 

#10 02 Mar 2015 13:32:58

Postroutine
Admin
 
Date d'inscription: 16 Feb 2015
Messages: 195

Re: [Résolu] Problème de NAT

J'ai ajouté la règle suivante:

Code:

-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Mais rien n'y fait. J'ai toujours des paquets non masqués qui sortent par eth0 sad


Séb (Pas le président, l'autre)

Hors ligne

 

#11 19 Mar 2015 10:28:13

Postroutine
Admin
 
Date d'inscription: 16 Feb 2015
Messages: 195

Re: [Résolu] Problème de NAT

Problème résolu.

Il faut désactiver l'option "net.netfilter.nf_conntrack_skip_filter"

Plus d'infos ici: http://wiki.openwrt.org/doc/uci/firewal … kip_filter


Séb (Pas le président, l'autre)

Hors ligne

 

Pied de page des forums

Powered by FluxBB