Pour plus d'informations :
iptables -t nat -nvL
Chain PREROUTING (policy ACCEPT 129 packets, 23159 bytes)
pkts bytes target prot opt in out source destination
3 180 DNAT tcp -- br0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:5901 to:194.57.105.57:2069
Chain INPUT (policy ACCEPT 15 packets, 2506 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 2 packets, 152 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 2 packets, 152 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE tcp -- * br0 0.0.0.0/0
0.0.0.0/0 tcp dpt:2069
Donc au final, les paquets sont bien interceptés par la règle PREROUTING
mais pas par le POSTROUTING
Florent NOLOT
Université de Reims Champagne-Ardenne
Le 10/01/2014 17:24, Aurélien Bras a écrit :
Bonjour,
Je spécifie toujours l'interface de sortie pour pour un snat :
-A PREROUTING -i br0 -p tcp -m tcp --dport 5901 -j DNAT
--to-destination X.X.X.X:2069
-A POSTROUTING -o br0 -p tcp -m tcp --dport 2069 -j MASQUERADE
Sinon comme je vois que l'interface se nomme br0, je soupçonne que
l'ip sur lequel tu effectue ton nat ne soit pas le routeur et ignore
donc les paquets en question, sauf avec un tcpdump qui activerait le
promiscius mode ...
Cordialement.
Aurélien
Le 10 janvier 2014 17:09, Florent Nolot <florent.no...@univ-reims.fr
<mailto:florent.no...@univ-reims.fr>> a écrit :
Bonjour
Je suis confronté à un problème dans une configuration de
redirection de port avec iptables.
Quand je fais un écoute avec tcpdump sur le port concerné, ma
redirection fonctionne mais quand j'arrête mon tcpdump, la
redirection en marche plus !
Il semble donc que comme lors de l'écoute avec tcpdump,
l'interface est en listen la redirection fonctionne alors que sans
le tcpdump, il n'y a pas d'écoute et le port ne s'ouvre pas à la
demande de connexion !
Ci-dessous ma règle iptable.
# Generated by iptables-save v1.4.14 on Fri Jan 10 17:05:09 2014
*nat
:PREROUTING ACCEPT [1008:218755]
:INPUT ACCEPT [154:25938]
:OUTPUT ACCEPT [7:532]
:POSTROUTING ACCEPT [8:572]
-A PREROUTING -i br0 -p tcp -m tcp --dport 5901 -j DNAT
--to-destination X.X.X.X:2069
-A POSTROUTING -p tcp -m tcp --dport 2069 -j MASQUERADE
COMMIT
# Completed on Fri Jan 10 17:05:09 2014
# Generated by iptables-save v1.4.14 on Fri Jan 10 17:05:09 2014
*filter
:INPUT ACCEPT [2146:198921]
:FORWARD ACCEPT [2:80]
:OUTPUT ACCEPT [484:91340]
COMMIT
# Completed on Fri Jan 10 17:05:09 2014
Je suis sur une
Linux serv-vm1 3.2.0-4-amd64 #1 SMP Debian 3.2.41-2 x86_64 GNU/Linux
Cordialement
--
Florent NOLOT
Université de Reims Champagne-Ardenne
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
