Il faut également autoriser les state NEW....sinon aucune initiation de connexion TCP ne peut passer...
Le lundi 03 janvier 2005 à 14:10 +0100, arno a écrit : > j'ai lancé cela : > iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination > 192.168.1.201:80 > iptables -t nat -A POSTROUTING -p tcp --sport 80 -j SNAT --to-source > 192.168.1.201 > iptables -A FORWARD -p tcp -m state --state ESTABLISHED -j ACCEPT > iptables -A FORWARD -p tcp -d 192.168.1.201 --syn --dport 80 -m > state --state NEW -j ACCEPT > iptables -P FORWARD DROP > > (d'ailleurs quand je fais un iptables -L -t filter, dans la table foward, je > ne vois qu'une regle, celle-ci : > ACCEPT tcp -- anywhere anywhere tcp > c'est normal ?????) > > > et le module ip_conntrack est bien chargé. > voici la reponse: > ip_conntrack 12684 2 (autoclean) [ipt_state iptable_nat]* > > et toujours rien ............... > > > > "Xavier" <[EMAIL PROTECTED]> a écrit dans le message de news: > [EMAIL PROTECTED] > > Xavier a écrit : > > > arno a écrit : > > > > > >> bonjour, > > >> > > >> je souhaiterais faire une redirection du port 80 (depuis > > >> 192.168.1.249) vers > > >> une autre machine (192.168.1.201) > > >> > > >> voici ma commande : > > >> iptables -t nat -A PREROUTING -p tcp --dport 80 -j > DNAT --to-destination > > >> 192.168.1.201:80 > > >> > > >> mais ce ne marche, j'ai fait de multiples tests, avec les options, etc > > >> ... > > >> mais rien !!! > > >> > > >> pouvez vous m'eclairer > > >> merci > > >> > > >> arno > > >> > > >> debian 3.0 noyau 2.4 > > >> > > >> > > > Assure toi que le module ip_conntrack est chargé, sinon netfilter ne > > > drée pas les règles implicites inverse. Si tu ne veux pas le charger, il > > > faut ajouter: > > > iptables -t nat -A POSTROUTING -p tcp --sport 80 -j SNAT --to-source > > > 192.168.1.201 > > > > > > @+ et bonne année > > > Xavier > > en ajoutant bien sûr la règle d'autorisation comme indiqué dans l'autre > fil: > > > > # Fonctionnement statefull général (commun à toutes les règles) > > iptables -A FORWARD -p tcp -m state --state ESTABLISHED -j ACCEPT > > > > # Règle spécifique au serveur web > > iptables -A FORWARD -p tcp -d 192.168.1.201 --syn --dport 80 -m state > > --state NEW -j ACCEPT > > > > # Politique par défaut > > iptables -P FORWARD DROP > > > "pingouin osmolateur" <[EMAIL PROTECTED]> a écrit dans le message > de news: [EMAIL PROTECTED] > > --- arno <[EMAIL PROTECTED]> a écrit : > > > bonjour, > > > > > > je souhaiterais faire une redirection du port 80 > > > (depuis 192.168.1.249) vers > > > une autre machine (192.168.1.201) > > > > > > voici ma commande : > > > iptables -t nat -A PREROUTING -p tcp --dport 80 -j > > > DNAT --to-destination > > > 192.168.1.201:80 > > > > > > > Bonjour, > > Tout d'abord je ne suis pas un pro de Iptables mais > > j'utilise 2*2 lignes de commande iptables pour faire > > traverser les flux SSH et HTTPS de mon ipcop. > > Je ne les ai pas sous la main mais la 2 eme regle > > après celle de nat c'est la regle FORWARD qui permet > > de transferer les paquets à travers le firewall. > > Je n'ai pas la synthaxe. > > Sinon tu dois avoir des logs ou en rajouter pour > > savoir ce qui se passe exactement. > > En espérant t'avoir aider > > AC > > > > > > > > > > > > > > Découvrez le nouveau Yahoo! Mail : 250 Mo d'espace de stockage pour vos > mails ! > > Créez votre Yahoo! Mail sur http://fr.mail.yahoo.com/ > > > > > > -- > > Pensez à lire la FAQ de la liste avant de poser une question : > > http://wiki.debian.net/?DebianFrench > > > > Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > >