Le poulpe qui bloppe ! a écrit : > Bonjour, > > Je sais que mon poste n'est pas relatif a debian, mais en desespoir de > cause.... > > J'ai aquit un WRT54GL et l'ai flashé en dd'wrt, donc en linux. > Iptables tourne dessus. > > Plan reseau: > WWW ----- WRT54GL ---- LAN > > Sur mon reseau LAN, j'ai installé un serveur DNS pour mon reseau local, > ca fonctionne bien. Ce dns gerre aussi mon domaine sur internet. > Il me faut donc rediriger toutes les requette qui viennent d'internet > sur le port 53 vers mon serveur DNS interne, et que ce dns interne > renvois la reponse à son expediteur sur le net. > > J'ai donc placé une regle PREROUTING qui DNAT mon port: > > $IPTABLES -t filter -A FORWARD -p udp -d $MOE --dport 53 -j ACCEPT > $IPTABLES -t nat -A POSTROUTING -p udp -d $MOE --dport 53 -j ACCEPT > $IPTABLES -t nat -A PREROUTING -p udp -d $IP_WAN --dport 53 -j DNAT > --to-destination $MOE:53
ne serais-ce pas plutôt: (avec WEB_IF=eth0 & LAN_IF=192.168.1.0/24 par ex.) $IPTABLES -t nat -A FORWARD -i $WEB_IF -p UDP -d $DNS_HOST \ --dport 53 -j ACCEPT $IPTABLES -t nat -A PREROUTING -i $WEB_IF -p UDP --dport 53 \ -j DNAT --to-dest $DNS_HOST $IPTABLES -t nat -A POSTROUTING -o $LAN_IF -p UDP -d $DNS_HOST \ --dport 53 -j ACCEPT Par principe, je n'aime pas les règles qui ne font pas explicitement référence aux I/Fs concernées, ça peut toujours donner des effets non- désirés. > Idem, aucun resultat. > Je precise que par defaut, j'ai INPUT OUTPUT FORWARD a ACCEPT Y'a pas pire comme policy! Commence par remettre tout à DENY, puis ouvre les "trous" voulus. En matière de sécurité il est plus que logique de commencer par tout interdire, puis d'ouvrir les portes une par une; sinon ne t'étonne pas s'il t'arrive des misères. JY -- Breeding rabbits is a hare raising experience.