Le poulpe qui bloppe ! a écrit :
Voici mon script à l'heure actuelle: http://fyxx.free.fr/001iptables.txt
$IPTABLES -t nat -A FORWARD -i $IF_LAN -p tcp -d $MOE --dport 53 -j ACCEPT
1) Il n'y a pas de chaîne FORWARD dans la table 'nat'. Une coquille, je
suppose.
2) Si je lis bien, cette règle est censée accepter les paquets entrant
par l'interface LAN destinés au serveur local. Autant dire qu'elle ne
doit pas accepter grand chose venant de l'extérieur.
$IPTABLES -t nat -A PREROUTING -i $IF_WAN -p tcp --dport 53 -j DNAT --to-dest
$MOE
$IPTABLES -t nat -A POSTROUTING -o $IF_LAN -p tcp -d $MOE --dport 53 -j ACCEPT
2) C'est quoi le but de la règle ACCEPT dans la chaîne nat/POSTROUTING,
sachant que la politique par défaut des chaînes de la table 'nat' est
normalement déjà ACCEPT ?
#################### Masquerading ####################
#####################################################################
##### Seul les PC de confience
$IPTABLES -t nat -A POSTROUTING -s $SMITHERS -o $IF_WAN -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $MOE -o $IF_WAN -j MASQUERADE
[...]
On ne fait pas de filtrage avec la table 'nat'. Si on veut empêcher des
postes de sortir, on bloque avec DROP ou REJECT dans la chaîne
filter/FORWARD. Tel quel, ça pollue internet en laissant sortir des
paquets avec leurs adresses source privées originales.
Accessoirement, où est le traitement des paquets retour ? Pas étonnant
que plus rien ne marche avec les politiques par défaut à DROP.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
