j'ai un souci avec 2 debian, les deux son connectées comme suit
Debian1 fait office de firewall et NAT (shorewall)
Debian2 ne fait rien de particulier
les deux sont en ip fixe sur les interfaces ethernet
le pbm c'est que je n'ai aucune réponse si debian1 ping debian2  vice versa, que dalle , rien...kakaouète.... ...même tcpdump ne dit rien!!
Tout le traffic local est autorisé dans mes règles de firewall
Je vous avouerai que je sèche un peu donc un peu d'aide serait la bienvenue
 
 
 
  ppp0-dhcp
  --------                 --------
--Debian1 |---------------|Debian2|---
  --------                 --------
eth0-192.168.1.1          eth0-192.168.1.2
 
 
 
ifconfig debian1
---------------
fabien@pinguin:~$ /sbin/ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:A0:E6: D3:E5:8F
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:5161
          TX packets:873 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:0 (0.0 b)  TX bytes:36666 (35.8 KiB)
          Interrupt:9 Base address:0xd000
 
 
ifconfig debian2
-----------------
fabien@gEekbOx:~$ /sbin/ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 00:05:5D:6C:E0:8G
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:750 errors:0 dropped:0 overruns:0 frame:0
          TX packets:750 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:49680 (48.5 Kib)  TX bytes:34776 (33.9 KiB)
          Interrupt:11 Base address:0xd800
 
 
 
route -n debian1
-----------------
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
80.11.85.1      0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 ppp0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0
 
route -n debian2
--------------------
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         U     0      0      0 eth0
 
(edit: le 2eme route -n était mal recopié   )

Il faut configurer shorewall.
J'ai traduit les docs "mini-howto" 1/2/3 interfaces. Tu les trouveras sur le site de l'auteur et il te faut lire celle qui te concerne !
 
As tu permis les discussions entre le fw et le lan dans le fichier policy ?  :heink:

j'ai suivi ta procédure pour 2 interfaces et j'ai tout autorisé entre le firewall et le réseau local
 
ce qui donne
/etc/shorewall/policy

 
-----------------------
/etc/shorewall/rules

J'ai un doute sur le fait que tu ne vois rien via tcpdump, quand bien même ton firewall filtrerait des trucs... Il me semble que même dans ce cas, tu peux voir les paquets arriver sur l'interface...

effectivement ce matin si je ping de debian1 vers debian2 je n'ai pas de réponse mais tcpdump est un peu plus bavard
 
sur Debian1 j'ai ça

 
 
et sur Debian2 tcpdump est super lent à réagir, les messages apparaissent bien après au moins 30 ç 40 secondes après le début du ping
ça donne ça

 
je suis pas une bête en réseau mais si j'ai bien compris Debian1 et Debian2 se parlent !
Mais pourquoi pas de réponse au ping ??
 
ptite précision dans mes règles de firewall j'ai explicitement autorisé le ping entre les deux machines
/etc/shorewall/rules

Sur Debian1:
echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

 
pas mieux ....

Bon, t'as un problème d'ARP là. Tu peux nous montrer, sur les 2 machines, le contenu de:
/proc/sys/net/ipv4/conf/<ethx>/proxy_arp
/proc/sys/net/ipv4/conf/<ethx>/arp_filter
Mais bon, c'est clairement la machine Debian1 qui ne répond pas aux requêtes ARP de Debian2
Ce n'est pas un problème de firewall, d'après moi.
Bon, on va bien y arriver!

j'espère bien qu'on va y arriver    
 
donc
Debian1
/proc/sys/net/ipv4/conf/eth0/proxy_arp

/proc/sys/net/ipv4/conf/eth0/arp_filter

 
 
Debian2
/proc/sys/net/ipv4/conf/eth0/proxy_arp

 
/proc/sys/net/ipv4/conf/eth0/arp_filter

Ah... Ca se complique là!!!
T'as quoi comme carte réseau? Une carte ISA? (3c509b par hasard?)

sur Debian1 chip réseau intégré (c'est un portable)
lspci | grep Ethernet
 
00:12.0 Ethernet controller: VIA Technologies, Inc. VT6102 [Rhine-II] (rev 51)
 
 
sur Debian2 un d-link-530TX (pour la petite histoire, reconnue qu'après une compil de noyau en 2.4.22 avec le module via-rhine)
 
lspci | grep Ethernet
00:0d.0 Ethernet controller:VIA Technologies, Inc.: Unknown device 3106 (rev 86)
 
J'ai des doutes sur le "unknown device"....aurais-je merdé dans le module sur Debian2 ??  

Nan, je pense que le problème se situe sur l'interface eth0 de Debian1, qui ne répond pas aux requêtes ARP.
T'as vraiment aucune ligne
arp reply 192.168.1.1 is-at 00:A0:E6:D3:E5:8F
dans tcpdump quand tu ping Debian1 depuis Debian2?
J'ai déja vu des cartes réseau qui ne répondaient pas aux requêtes ARP en raison d'un bug de leur chipset...

Apparement, y'a pas de pb avec les chipsets VT6102... ????

ping de Debian2(192.168.1.2) vers Debian1 (192.168.1.1)
 
Debian1
tcpdump -i eth0
 
rien du tout  
 
Debian2
tcpdump -i eth0
...
arp who-as 192.168.1.1 tell 192.168.1.2
arp who-as 192.168.1.1 tell 192.168.1.2
arp who-as 192.168.1.1 tell 192.168.1.2
arp who-as 192.168.1.1 tell 192.168.1.2
.....

bah si j'en crois l'auteur de cette page http://jcpp.nerim.net/gericom/
 
ça fonctionne
"  VIA VT6102 Rhine-II OK with via-rhine module"

 
OK. Il est branché le cable?  
C'est bien un câble croisé?

 
oui    
 
J'ai même essayé avec un hub et deux cables droits..pareil

Si tu fais un arp -a sur les 2 machines, ça donne quoi?

 
Debian1
rien (même après un ping)
 
 
Debian2
 
arp -a -> rien
 
ping 192.168.1.1 puis arp -a me donne:
 
?(192.168.1.1) at <incomplete> on eth0
 
 

Est si tu fais ça sur Debian2:
arp -s dio -H ether <MAC de la carte réseau de Debian1> -i eth0

 
je ne comprends pas le -s dio dans la commande , ça sert à quoi ??
 
toujours est-il que la commande lancée me renvoie
Host name lookup failure

Ooops... Désolé.
arp -s 192.168.1.1 -H ether <MAC de la carte réseau de Debian1> -i eth0

 
tjrs pas de réponse aux pings après la commande sur Debian2
ni d'ailleurs après la même commande sur Debian1
 
par contre , toujours des messages de tcpdump  
 Debian2 : echo resquest et reply sur eth0
uiquement echo request sur Debian1
 
ce serait pas iptables qui ferait chier par hasard??

 
Non, je ne pense pas. Tu verrai quand même les requêtes ARP sur les machines. Et puis, le fait que tes caches ARP soient vides sur Debian1, c'est anormal.
Tu me parles de firewall... J'espère que tu l'as désactivé pendant ces essais? Parce qu'on peut pas résoudre un problème quand il y a 36000 trucs qui tournent et sont susceptibles d'interférer...
Regardes encore une fois les fichiers de paramétrage que je t'ai indiqué, et qui se trouvent dans /proc.