[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Comment visualiser le contenu du NAT d'iptables ?



Le 18/06/2014 22:26, Olivier a écrit :
Bonjour,

Bonsoir


J'ai un réseau dont le routeur principal est une machine sous Wheezy.

Ce routeur effectue du NAT au profit d'utilisateurs d'un réseau WiFi.
Le NAT est implémenté par une règle IPtables du type:
iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to-source ${WAN_IP}


J'observe dans les logs une multitude de lignes comme:

Jun 18 16:19:57 foo kernel: [4670104.045210] Denied TCP: IN=eth0 OUT= MAC=c0:3f:d5:60:36:37:40:5a:9b:bb:60:a1:08:00 SRC=157.55.235.149 DST=192.168.1.243 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=55546 DF PROTO=TCP SPT=40001 DPT=51296 WINDOW=35 RES=0x00 ACK FIN URGP=0

Les adresses MAC visibles sont bien celles de ma destination et du routeur source.


SPT et DPT, à quoi correspondent ils? Denied: est ce la 1ère requête faite par le client?

un tshark -i eth0 src or dst 157.55.235.149 te permettrait de voir le trafic, s'il est bidirectionnel, etc ...


J'interprète ces lignes de la façon suivante:

- un utilisateur du WiFi émet une requête vers Internet,

- l'IP source de la requête est modifiée par mon routeur sous Wheezy qui enregistre au passage la correspondance dans une table avant d'envoyer la requête modifiée au modem-routeur du lien ADSL (très chargé)

- si la réponse en provenance d'Internet est trop tardive (ou pour une autre raison à identifier) alors IP tables ne retrouve l'entrée idoine dans sa table de correspondance et écarte la réponse


Comment valider ou invalider ma théorie ?

Comment visualiser l'état des tables de NAT ?


Voir dans /proc/sys/net/[ipv4|ipv6|netfilter]

Est-il possible-souhaitable d'augmenter la durée de rétention des correspondance du NAT avec iptables ?

Slts



Reply to: