[gull] IP routing

Daniel Cordey dc at mjt.ch
Wed Jun 23 09:07:02 CEST 2004


On Wednesday 23 June 2004 00:50, Martial Guex wrote:

> t'est sur que les 3 anciennes cartes on le même device (eth0, eth1 etc)?

Absolument. En faisant un tcpdump sur chacune des cartes, je vois bien le 
traffic de chacun de ces reseaux.

> T'arrive à pinger les systèmes A et C depuis B et inversement?

Aucun probleme.

> Les systèmes A et C on bien le sytème B comme gateway par defaut?

Oui. Les tables de routages sont corrects et un 'traceroute' m'indique bien 
que le premier HUB est ce qui est configure comme gateway.

> Pas activé iptables ou ipchains?

Non. voici le resultat de iptables -L

mjtlnx3:/home/dc # iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 7493 packets, 533K bytes)
 pkts bytes target     prot opt in     out     source               
destination
 7437  529K            all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain POSTROUTING (policy ACCEPT 2712 packets, 165K bytes)
 pkts bytes target     prot opt in     out     source               
destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               
destination

> Il est possible que ce soit un problème d'ARP?

Non, le systeme B a bien toutes les MAC adresses dans son cache. De plus, si 
ce n'etait pas le cas, je devrais voir un 'arp who-has'; meme pas...

> Personnelement premier lieu je ferai en que les connection A <-> B  B <-> C
> soient ok.

Ca c'est nickel pecable.


Merci aussi pour tes liens et conseils concernant les differentes solutions a 
l'aide d'iptables. Je vais y jeter un coup d'oeil de toute facon car ca me 
semble interessant. Merci aussi a Francois pour sa commande 'ipchains'.

Dans l'absolu, le simple fait de configurer les cartes d'interface a l'aide de 
ifconfig et mettre /proc/.../ip_forward a '1' suffit pour autoriser le 
routage entre les cartes d'un meme systeme. J'avais reussi cette operation la 
semaine passe avec trois cartes dans mon systeme, mais depuis que j'en ai mis 
une quatrieme... nada ! J'etais aussi en mesure de verifier le bon 
fonctionnement de la valeur de /proc.../ip_forward. Je me suis amuse a 
changer la valeur entre 0 et 1 pour constater que je controlais bien le 
routage de paquets IP entre mes cartes. 

La seule chose que j'ai aussi modifie est le contenu des 
fichiers /etc/sysconfig/network/ifcfg-eth-id* en y ajoutant la constante 
FORWARD_IPV4, tel que :


BOOTPROTO='static'
BROADCAST='192.168.1.255'
IPADDR='192.168.1.70'
MTU=''
NETMASK='255.255.255.0'
NETWORK='192.168.1.0'
REMOTE_IPADDR=''
STARTMODE='onboot'
UNIQUE='WL76.IQxIdIhhuH7'
_nm_name='bus-pci-0000:00:09.0'
FORWARD_IPV4=true

Ce fichier est l'un de ceux utiliser par /etc/init.d/network pour configurer 
les cartes. Il est maintenu par YaST (Dans la mesure du possible, j'essaie 
d'utiliser YaST qui permet a mes collegues de voir ce qui est veritablement 
fait de maniere simple)

Il est evident que iptable permet un controle totale et tres fin dans ce genre 
d'operation. Je cherchais simplement a eviter son utilisation, de maniere a 
pouvoir 'exporter' cette maniere de faire sur n'importe lequel de nos systeme 
et en garantissant que je perturbe pas des regles iptables deja etablies. 
Plus j'y reflechi, plus je m'oriente vers l'idee qu'il ne sagit pas d'un 
probleme de configuration mais de quelque chose de plus profond. 

J'aimerais bien devenir un pro du routage mais je manque de temps :-( Je viens 
de passer plus de deux jours a essayer de faire fonctionner quelque chose qui 
devrait fonctionner d'un claquement de doigt, mais je suis oblige 
d'abandonner faute de temps. Ce router devait fonctionner pendant ~10 jours 
pour assurer une transition douce vers de nouveau reseaux. Helas, nous allons 
devoir faire autrement.

Il est quasi certain que si quelqu'un essaye la configuration A <--> B <--> C 
celle-ci va fonctionner. Inutile de me le signaler, j'ai aussi essaye et ca 
marche. Si par contre, quelqu'un veut encore rajouter deux autre sreseaux a B 
et essayer, ca m'interesserait de savoir s'il arrive a reproduire le 
probleme.

Un grand merci a tous pour votre aide.

Daniel




More information about the gull mailing list