Réseau ou problème matériel?

Nature-Informatique cheztux at free.fr
Sam 24 Juin 09:44:38 UTC 2006 

Bonjour,

Suite à mon message d'il y a deux jours qui avait pour sujet "Réseau",
j'avoue que je ne comprend pas trop d'où peut venir le problème. Je me
pose la question de savoir si ce n'est pas plus un problème matériel,
qu'un problème réseau. En effet, je dois relancer le réseau toute les 2
ou 3mn si je veux être connecté à internet et au LAN.

Mon réseau est en IP fixe derrière une freebox configurée en routeur, et
le partage de connection est fait par un hub.

Voici  /etc/hosts
127.0.0.1 localhost maladeta
127.0.1.1 maladeta

192.168.0.1 aneto.pyrenee aneto
192.168.0.2 maladeta.pyrenee maladeta

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

Voici /etc/resolv.conf
search fbx.proxad.net
nameserver 212.27.54.252
nameserver 212.27.53.252

Voici ma table de routage (lorsque ça fonctionne)
Table de routage IP du noyau
Destination     Passerelle      Genmask         Indic Metric Ref    Use 
Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.0.254   0.0.0.0         UG    0      0        0 eth1

Voici mon parefeu
#!/bin/bash
# FireWall fait par Régis Couraud le 30_09_2003

#. /etc/init.d/functions

#############################################
##############    VARIABLES   ###############
#############################################
#INT_EXT="ppp0"
INT_LAN="eth1"
INT_EXT="eth1"
INT_LO="lo"
IP_LAN="192.168.0.254/24"

case "$1" in
#===========================Supprimer le 
Firewall===================================
   stop)
#Je vide toutes les ancienne regles

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT


# On remet les polices par défaut pour la table NAT

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

# Je flush les règles existantes

iptables -F
iptables -t nat -F

# J'efface toutes chaînes qui ne sont pas à defaut dans la table filter 
et nat

iptables -X
iptables -t nat -X

# Et j'en remet une couche avec un autre script de flush ;-)

# Activation du forwarding

echo 1 > /proc/sys/net/ipv4/ip_forward

# Ces régles sont la pour pouvoir loguer si je le veux

iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP

# Ces régles sont la pour pouvoir loguer si je le veux

iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT

;;
#=========================Activation des 
protections================================
start)
# On remet tout à zéro
$0 stop

# Je veux pas de spoofing

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
   for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
   do
     echo 1 > $filtre
   done
fi


# Je veux pas icmp

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all


# Protection contre l'echo en broadcast

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts


# Protection contre les mauvais messages d'erreur

echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses


# Protection contre l'acceptation des messages ICMP redirigés

for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done


# Protection contre le syn-flood

iptables -A FORWARD -p TCP --syn -m limit --limit 1/s -j ACCEPT


# Protection contre le test de port furtif

iptables -A FORWARD -p TCP --tcp-flags SYN,ACK,FIN,RST RST -m limit 
--limit 1/s -j ACCEPT


# Protection contre le ping de la mort

iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 
1/s -j ACCEPT


#############################################
#############################################

# Je charge les modules dont j'ai besoin

modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp

# Je refuse tous par défault

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP


##############################################################
##############    MACHINE LOCAL   ############################
##############################################################

# Pour éviter les problèmes, on va tout accepter sur
# la machine en local (interface lo).

iptables -A INPUT  -i $INT_LO -p ALL -j ACCEPT
iptables -A OUTPUT -o $INT_LO -p ALL -j ACCEPT

# J'autorise tous en sortie
# iptables -A INPUT  -i $INT_EXT -p ALL -j ACCEPT
# iptables -A OUTPUT -o $INT_EXT -p ALL -j ACCEPT

iptables -A INPUT -i $INT_EXT --protocol ALL -m state --state 
ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $INT_EXT --protocol ALL -m state --state 
NEW,ESTABLISHED -j ACCEPT


##############################################################
#################           LAN        #######################
##############################################################
# On veut que le LAN connecté à l'interface
# $INT_LAN ait un accès complet à internet.

iptables -A FORWARD -i $INT_LAN -o $INT_EXT -j ACCEPT
iptables -A FORWARD -o $INT_LAN -i $INT_EXT -j ACCEPT

iptables -A INPUT -i $INT_LAN -p ALL -j ACCEPT
iptables -A OUTPUT -o $INT_LAN -p ALL -j ACCEPT

##############################################################
##############    ENTREE VENANT DU WEB    ####################
##############################################################

# SSH AUTORISER
iptables -A INPUT -i $INT_EXT -m state --state NEW,ESTABLISHED -p tcp 
--dport 22 -j ACCEPT
iptables -A OUTPUT -o $INT_EXT -m state --state ESTABLISHED -p tcp 
--sport 22 -j ACCEPT

# HTTP AUTORISER
iptables -A INPUT -i $INT_EXT -m state --state NEW,ESTABLISHED -p tcp 
--dport 80 -j ACCEPT
iptables -A OUTPUT -o $INT_EXT -m state --state ESTABLISHED -p tcp 
--sport 80 -j ACCEPT

# HTTPS AUTORISER
iptables -A INPUT -i $INT_EXT -m state --state NEW,ESTABLISHED -p tcp 
--dport 443 -j ACCEPT
iptables -A OUTPUT -o $INT_EXT -m state --state ESTABLISHED -p tcp 
--sport 443 -j ACCEPT

## J'autorise le ftp
iptables -A INPUT -p tcp -i $INT_EXT -m state --state NEW,ESTABLISHED 
--dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp -o $INT_LAN -m state --state NEW,ESTABLISHED 
--sport 21 -j ACCEPT

##iptables -A INPUT -p tcp -i $INT_EXT -m state --state NEW,ESTABLISHED 
--dport 20 -j ACCEPT
#iptables -A OUTPUT -p tcp -o $INT_LAN -m state --state NEW,ESTABLISHED 
--sport 20 -j ACCEPT

##iptables -A INPUT -p tcp -i $INT_EXT -m state --state 
ESTABLISHED,RELATED --dport 10000:65535 -j ACCEPT
##iptables -A OUTPUT -p tcp -o $INT_EXT -m state --state 
ESTABLISHED,RELATED --sport 10000:65535 -j ACCEPT

# Bittorrent
#iptables -A INPUT -i $INT_EXT -m state --state NEW,ESTABLISHED -p tcp 
--dport 6881:6889 -j ACCEPT
#iptables -A OUTPUT -o $INT_EXT -m state --state ESTABLISHED -p tcp 
--sport 6881:6889 -j ACCEPT

##############################################################

# Il faut permettre à l'ensemble du LAN de dialoguer
# sur internet avec la même adresse IP

iptables -t nat -A POSTROUTING -s $IP_LAN -j MASQUERADE

# Toutes les régles n'ayant pas passé les régles du firewall sont loguées

iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP

# Pour mon alter ego ;-))
echo "Maitre vous pouvez vous servir de votre connexion"

;;
#===================================================================================
restart)
	$0 stop
	$0 start
;;
#===================================================================================
status)
   	echo "Utiliser nmap et iptables -L"
;;
#===================================================================================
   *)
         gprintf "Usage: %s\n" "$(basename $0) {start|stop|status}"
         exit 1
esac

exit 0


Voila, si vous avez une idée svp?

A+ Jean Michel

Plus d'informations sur la liste de diffusion ubuntu-fr