PHWinfo - Afficher un message

26/05/2007, 11h58

Salut,

Lolotte a écrit :
>>
>> Je voudrais que toutes les requêtes arrivant sur le port 99 de
>> l'adresse 128.197.15.10, attachée à eth0, et provenant du domaine
>> cowabonga.tmnt (si si, c'est résolu sur la maquette :-P ) soient
>> renvoyées sur le port 4321 du même serveur.
[...]
> iptables -t nat -A PREROUTING -i eth0 -s xxx.xxx.xxx.xxx/aa -p tcp
> --dport 99 -j REDIRECT --to-ports 4321

Si je lis bien l'énoncé, le critère de correspondance porte sur
l'adresse de destination et non sur l'interface d'entrée. En toute
rigueur il faudrait donc utiliser "-d 128.197.15.10" au lieu de "-i
eth0". En toute rigueur toujours, il faudrait utiliser la cible "-j DNAT
--to-destination 128.197.15.10:4321" au lieu de REDIRECT car cette
dernière remplace l'adresse de destination par l'adresse de l'interface
d'entrée, modifiant l'adresse destination si le paquet arrive par une
autre interface que eth0. D'autre part, on ne sait pas si le port 99 est
en TCP ou UDP.

On voit bien avec cet exemple d'apparence simple qu'il n'y a pas de
recette de cuisine universelle. La règle que tu proposes fonctionnera
dans certains cas, mais pas dans d'autres, et l'OP ne nous a pas donné
tous les détails.

> Il faut que tu aies à minima chargé le module iptable_nat

Ça dépend des fonctions qui ont été compilées en module ou en dur. Si
les fonctions de Netfilter sont en modules, il en faut bien d'autres que
iptable_nat pour que cette règle fonctionne. Mais de toute façon si tout
est bien configuré les modules nécessaires devraient être chargés
automatiquement à la création de la règle.

26/05/2007, 11h58	#4
Pascal Hambourg Messages: n/a Hébergeur:	Re: Recettes de cuisine pour IPtables Salut, Lolotte a écrit : >> >> Je voudrais que toutes les requêtes arrivant sur le port 99 de >> l'adresse 128.197.15.10, attachée à eth0, et provenant du domaine >> cowabonga.tmnt (si si, c'est résolu sur la maquette :-P ) soient >> renvoyées sur le port 4321 du même serveur. [...] > iptables -t nat -A PREROUTING -i eth0 -s xxx.xxx.xxx.xxx/aa -p tcp > --dport 99 -j REDIRECT --to-ports 4321 Si je lis bien l'énoncé, le critère de correspondance porte sur l'adresse de destination et non sur l'interface d'entrée. En toute rigueur il faudrait donc utiliser "-d 128.197.15.10" au lieu de "-i eth0". En toute rigueur toujours, il faudrait utiliser la cible "-j DNAT --to-destination 128.197.15.10:4321" au lieu de REDIRECT car cette dernière remplace l'adresse de destination par l'adresse de l'interface d'entrée, modifiant l'adresse destination si le paquet arrive par une autre interface que eth0. D'autre part, on ne sait pas si le port 99 est en TCP ou UDP. On voit bien avec cet exemple d'apparence simple qu'il n'y a pas de recette de cuisine universelle. La règle que tu proposes fonctionnera dans certains cas, mais pas dans d'autres, et l'OP ne nous a pas donné tous les détails. > Il faut que tu aies à minima chargé le module iptable_nat Ça dépend des fonctions qui ont été compilées en module ou en dur. Si les fonctions de Netfilter sont en modules, il en faut bien d'autres que iptable_nat pour que cette règle fonctionne. Mais de toute façon si tout est bien configuré les modules nécessaires devraient être chargés automatiquement à la création de la règle.