Le 3 mars 2009 11:21, François TOURDE <fra-duf-no-s...@tourde.org> a écrit : > Le 14306ième jour après Epoch, > Kevin Hinault écrivait: > >> Le 3 mars 2009 09:27, François TOURDE <fra-duf-no-s...@tourde.org> a écrit : >>> Le 14306ième jour après Epoch, >>> Gaulin Jérôme écrivait: >>> >>>> Bonjour la liste, >>>> >>>> J'ai une dedibox et il m'est impossible de la joindre via son ip >>>> failover. >>>> >>>> - Installation fraiche et classique d'une debian etch ( idem avec >>>> lenny ) >>>> >>>> - Configuration classique des interfaces: >>> >>> Pas si classique que ça. Tes deux interfaces sont sur le même network, >>> et une seule gateway est configurée... >>> >>> Du coup, si tu ping vers dummy0, au mieux c'est eth0 qui va te >>> répondre. Il faut faire du source-routing dans ce cas. Google est ton >>> ami pour ça ... Et surtout je me souviens plus comment on fait :p >> >> Je ne vois pas l'inconvénient. L'IP de Fail Over est une adresse IP >> virtuelle attribuée à une même carte réseau physique donc le fait >> qu'il n'y ait qu'une gateway n'est pas un problème. Tout ce qui sort >> de la machine sortira par la même carte et arrivera sur le même >> routeur. > > Ce n'est pas ce que je voulais dire. En gros, si tu admets que tes > paquets vont systématiquement sortir avec l'IP standard (parce que tu > n'as pas mis en place le source-routing), voilà ce qu'il peut se > produire: > > step Machine X Dedibox > 1 ping (IPx, IPf) --> le ping est reçu > 2 <-- reply (IPn, IPx) > 3 le firewall va > refuser, c'est pas > ce qui est sorti >
Non justement. La réponse se fait bien avec l'adresse IPf et non IPn. Il n'y a aucune raison pour que soudainement la machine réponde avec une autre adresse IP sur un ping. Je n'admets nulle part que les paquets vont *systematiquement* sortir avec l'adresse IP standard, je dis : Les réponses aux requêtes externe vers la mahcine se font avec l'adresse sur lequel la machine a reçu la requête. Les requêtes vers l'extérieur initiées par la machine se font, elles, sur la sortie standard. > A l'étape 1, une machine envoie un ping vers l'IP failover de la > dedibox. Selon ton firewall et autres règles que tu as pû mettre en > oeuvre, comme la réponse au ping va être marquée avec l'IP normale, > soit c'est la dedibox qui la bloque elle-même, soit c'est la machine > extérieure qui va recevoir une réponse à une requête qu'elle a pas > émis. > > D'après son tcpdump, c'est bien sa machine X qui va filtrer ces > réponses, puisque la dedibox reçoit et émet l'ICMP. > > Pour vérifier, il faudrait aussi lancer un tcpdump sur la machine qui > émet le ping, de façon à être sûr de savoir d'où viens le souci. Il me > semble qu'une option du ping permet de dire "j'ai reçu une réponse, > mais c'est pas la bonne", mais je laisse le soin au PO de lire le man > :) J'ai bien vérifié et c'est l'adresse IP de destination qui me répond. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
