Tu peux aussi faire un autre truc amusant. Tu mets tes 2 règles donc .10 peut plus accéder à .33:80. Tu débranches le Cisco du switch. Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local. Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la devinette de l’été.
> Le 20 juil. 2016 à 11:37, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai > branché un switch qui connecte mon serveur web et mon pc. > > Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web > était connecté derrière le Cisco avant de passer sur le switch... > > Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... > > Je vais reprendre la configuration du Cisco à zéro et écraser la conf. > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : Frnog-tech <frnog-t...@frnog.org> > Envoyé le : Mercredi 20 juillet 2016 11h25 > Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside > > Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse > MAC qu’elle a pour l’autre est bien l’autre :) > En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de > .33, et pas un méchant qui se fait passer pour elle, et inversement. > Vire toute règle de firewall/iptables/etc.. sur .33. > Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par > le Cisco, sauf config tordue. > Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour > matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour > voir si le compteur s’incrémente). > > T’es sûr qu’il y a pas une subtilité dans la conf ? > > > >> Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr >> <mailto:antoine.duran...@yahoo.fr>> a écrit : >> >> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >> >172.16.1.10 ? >> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent >> dans une règle ip nat >> >> >.10 et .33 ont le Cisco comme route par défaut ? >> Oui >> >> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ? >> Oui le ping passe avec les règles ou meme sans >> >> >Si non, je te recommande de revoir toute la configuration (netmask, >> >proxy-arp, ….) car c’est juste pas possible. >> Le netmask est conforme, le proxy-arp est off >> >> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration >> archi simple... >> > > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
