> > > Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT. > > > Tes dernières règles n'ont pas de sens (PREROUTING et DNAT) > > Tu veux dire que si je met accept mes dernieres regles ne > servent a rien ? > > Je veux dire que mettre ACCEPT par défaut n'est pas bon. Après tout > l'option -g de nmap doit bien servir à quelque chose... > > Concernant le DNAT: > * lorsque tu te connectes en temps que _client_, il t'est attribué un n° > de port sup à 1023 mais qui n'est pas déterminé à l'avance (sauf applis > faites pour, nmap -g par exemple.). La table de connexion est là pour > gérer les correspondances. > > * tu voudras faire du dnat lorsque tu offres un service qui n'est pas > directement connecté au web, car le correspondant ne connait que la > passerelle. Le dnat est fait pour envoyer les paquets vers une machine > et un port donné et prévisible, qui n'est pê pas le port sur lequel > croit se connecter le correspondant d'ailleurs.. > > * dans le cas du ftp actif le client se comporte en serveur donc offre > un service mais sur un port qui n'est pas déterminable. Difficile de > faire du dnat dans ce cas. D'où l'utilité de ip_nat_ftp > ok merci pour ce supplement d'information :)
Ce que je regrette c'est le manque de clairté concernant ce genre de parametres :/ Impossible de trouver sur le net. Par contre des que j'ai eu cette commande google est redevenu mon amis :) Alex.