Conversation
precedente ou
suivante
[Expert][netfilter] chaine quand tu nous tiens
Envoyé par:
zragg
salut ;-p
Pourquoi expert, et bien parce c'est un pb mais une incompréhension de la doc ....
Pour mon firewall, j'ai besoin de deux tables nat et filter.
Pour filter, le chemin des paquets routés est PREROUTING --> FORWARD --> POSTROUTING
Pour nat, le chemin des paquets est PREROUTING --> OUTPUT --> (?)
est ce que le MASQUERADE passe par FORWARD ?
est ce que je peux dire la table filter drop all et nat autorise tous, pour permettre un accés au net mais pas à la machine/routeur ?
J'ai vraiment pas l'impression d'être clair /o\
Pourquoi expert, et bien parce c'est un pb mais une incompréhension de la doc ....
Pour mon firewall, j'ai besoin de deux tables nat et filter.
Pour filter, le chemin des paquets routés est PREROUTING --> FORWARD --> POSTROUTING
Pour nat, le chemin des paquets est PREROUTING --> OUTPUT --> (?)
est ce que le MASQUERADE passe par FORWARD ?
est ce que je peux dire la table filter drop all et nat autorise tous, pour permettre un accés au net mais pas à la machine/routeur ?
J'ai vraiment pas l'impression d'être clair /o\
Poste le Thursday 6 November 2003 16:14:43
Re: [Expert][netfilter] chaine quand tu nous tiens
Envoyé par:
greywolf
non la table nat s'occupe des hooks PREROUTING, OUTPUT et POSTROUTING;
filter s'occupe de INPUT,FORWARD et OUTPUT.
la table forward concerne les paquets forwardés d'une interface à une autre (et donc pas de lo vers eth0/ppp0).
SI tu ne veux pas mettre d'accès à la passerelle firewall, ça se règle dans INPUT/OUTPUT.
Tout le filtrage des paquets à destination/en provenance du lan se fait dans FORWARD.
j'avias commencé à écrire une bafouille sur iptables, mais ça fait longtemps que je ne m'y suis pas repenché:
[greywolf.ht.st]
filter s'occupe de INPUT,FORWARD et OUTPUT.
la table forward concerne les paquets forwardés d'une interface à une autre (et donc pas de lo vers eth0/ppp0).
SI tu ne veux pas mettre d'accès à la passerelle firewall, ça se règle dans INPUT/OUTPUT.
Tout le filtrage des paquets à destination/en provenance du lan se fait dans FORWARD.
j'avias commencé à écrire une bafouille sur iptables, mais ça fait longtemps que je ne m'y suis pas repenché:
[greywolf.ht.st]
Poste le Thursday 6 November 2003 20:15:05
Re: [Expert][netfilter] chaine quand tu nous tiens
Envoyé par:
greywolf
le MASQUERADE s'applique dans la chaine POSTROUTING de la table nat donc après le forward 
.
La cible MASQUERADE permet de modifier l'adresse IP source du paquet par l'adresse IP de l'interface de sortie (ppp0) (un SNAT spécial autrement dit).
Pour partager une connexion internet, y'a juste à activer l'ip_forwarding dans sysctl.
Iptables intervient uniquement pour filtrer les paquets dans la table FORWARD et si ton adressage LAN est privé à faire du SNAT.
.La cible MASQUERADE permet de modifier l'adresse IP source du paquet par l'adresse IP de l'interface de sortie (ppp0) (un SNAT spécial autrement dit).
Pour partager une connexion internet, y'a juste à activer l'ip_forwarding dans sysctl.
Iptables intervient uniquement pour filtrer les paquets dans la table FORWARD et si ton adressage LAN est privé à faire du SNAT.
Poste le Friday 7 November 2003 09:12:40
Ce forum !
[Expert][netfilter] chaine quand tu nous tiens
Posez dans ce forum les questions qui ne trouvent pas place dans les autres...
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons