Re: lsNAT : No longer support implicit source local NAT

Sat, 11 Nov 2006 22:29:45 -0800 

Pascal Hambourg wrote:

herve thibaud a écrit :



J'ai essayé la règle (avec port 80) sur un poste avec un noyau 
2.6.18-rc5-git6. J'accède aux sites en entrant leurs adresses.



Tu veux dire leurs noms de domaine qui pointent sur l'adresse IP 
publique ? Problème réglé, alors.

Exact

Mais ça aurait dû marcher aussi avec shorewall qui devait générer une 
règle iptables similaire (à vérifier avec iptables-save). Du moins je 
le suppose, ne connaissant rien à la syntaxe de shorewall. Que se 
passait-il exactement ?



Ca marche avec shorewall. Juste que je n'avais jamais vu ce message 
d'erreur. Ce qui m'a inquiété c'est de pouvoir me retrouver avec une 
erreur plus grave qui interdise le démarrage de shorewall. En fait c'est 
ce qui m'était arrivé en tentant d'installer un noyau plus récent. 
Peut-être il y avait-il un autre problème, mais je ne suis qu'un amateur 
et franchement la doc tout en anglais déjà que je trouve difficile 
d'avaler quand c'est en français ...
Peut-être que je me trompe mais il me semble que sur l'autre poste avec 
un noyau plus récent (mise à jour régulière à partir de kernel.org), une 
telle règle empéchait le démarrage de shorewall. Mais je ne me suis pas 
acharner



ci dessous un morceau des traces que je trouve dans le fichier syslog


europe:/var/log# cat syslog | grep NAT


[...]

Nov  5 07:44:12 europe kernel: NAT: no longer support implicit 
source local NAT
Nov  5 07:44:12 europe kernel: NAT: packet src 192.168.0.6 -> dst 
81.56.198.85

[...]

Ce message d'avertissement du noyau apparaît au plus une fois à chaque 
chargement des modules NAT du noyau, donc en gros une fois par 
redémarrage sauf si on s'amuse à décharger et recharger les modules. 
La formulation de la seconde ligne est un peu étrange puisque 'src' 
est l'adresse destination (!) après DNAT, 'dst' étant l'adresse 
destination originale. Je pense que c'est un bug, sans gravité.

En effet, la règle que tu me donnes, laisse la même trace dans syslog.


D'après ce que je comprends du code source de la fonction 
warn_if_extra_mangle() qui émet le message, 'src' (paramètre srcip) 
devrait être l'adresse source du paquet et 'dst' (paramètre dstip) la 
nouvelle adresse destination. L'appel de la fonction a dû s'emmêler 
les pinceaux. :-)
D'ailleurs dans ton cas, si la fonction warn_if_extra_mangle() était 
appelée avec les bons paramètres, tu n'aurais même pas ce message 
puisque l'adresse source n'a pas lieu de changer.





Là je suis largué depuis longtemps... je suis devenu allergique aux 
concepts informatiques.


Merci


--
Lisez la FAQ de la liste avant de poser une question :

http://wiki.debian.net/?DebianFrench   
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et

"Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]























					Répondre à