Re: problème réseau

To: liste Debian <debian-user-french@lists.debian.org>
Subject: Re: problème réseau
From: pascal <pascalgosse@wanadoo.fr>
Date: Sat, 06 Jan 2007 13:01:08 +0100
Message-id: <[🔎] 459F8F84.5070402@wanadoo.fr>
In-reply-to: <[🔎] 459F8917.2020508@plouf.fr.eu.org>
References: <[🔎] 459E65DF.9070803@wanadoo.fr> <[🔎] 459E82D4.6030205@plouf.fr.eu.org> <[🔎] 459EA05D.3000004@wanadoo.fr> <[🔎] 459EAE81.6090108@plouf.fr.eu.org> <[🔎] 459ED1F3.7010005@wanadoo.fr> <[🔎] 459EDB44.1090105@plouf.fr.eu.org> <[🔎] 459F02B2.3060702@wanadoo.fr> <[🔎] 459F8917.2020508@plouf.fr.eu.org>

Pascal Hambourg a écrit :

> Mais c'est un peu lourd. On peut alléger avec des chaînes utilisateur :
> 
> # NAT source du LAN vers l'extérieur
> iptables -t nat -A POSTROUTING -o eth0 -s 192.162.2.0/24 \
>   -j SNAT --to-source 192.168.1.20
> 
> iptables -N fwd_out
> iptables -N fwd_in
> iptables -A FORWARD -i $LAN_IFACE  -o $INET_IFACE \
>   -m state --state NEW,ESTABLISHED,RELATED -j fwd_out
> iptables -A FORWARD -i $INET_IFACE -o $LAN_IFACE \
>   -m state --state ESTABLISHED,RELATED -j fwd_in
> iptables -A FORWARD -j REJECT
> 
> # pour autoriser 192.168.2.21 à communiquer avec l'extérieur
> iptables -A fwd_out -s 192.168.2.21 -j ACCEPT
> iptables -A fwd_in  -d 192.168.2.21 -j ACCEPT
> 
> # pour autoriser 192.168.2.23 à communiquer avec l'extérieur
> iptables -A fwd_out -s 192.168.2.23 -j ACCEPT
> iptables -A fwd_in  -d 192.168.2.23 -j ACCEPT
> 
> D'accord, il y a plus de règles que dans la première version mais elles
> sont plus courtes donc plus lisibles et plus rapides à créer, effacer et
> exécuter. Les deux règles à créer ou supprimer pour autoriser ou
> interdire à une adresse de communiquer avec l'extérieur sont très
> simples et n'ont pas besoin de connaître les noms des interfaces. Et on
> peut traiter avec REJECT les paquets non acceptés.
> 
>> En fait je crois avoir du mal à m'imaginer les relations exactes et
>> précises liant les tables aux chaînes. A m'en faire une représentation
>> mentale. Ca n'est pas très clair pour moi. Malgré mes lectures.
> 
> Les tables sont indépendantes les unes des autres. Les chaînes de même
> nom et de tables différentes sont traversées dans un ordre bien défini
> qui peut changer selon le nom des chaînes. En fait le nom des chaînes
> est purement arbitraire. Par exemple le fait que les chaînes traversées
> par un paquet émis localement aient le même nom OUTPUT dans toutes les
> tables résulte d'un choix arbitraire fait pour des raisons pratiques.
> 
> En réalité Netfilter définit 5 points d'ancrage ("hooks") où peuvent
> s'accrocher les différentes tables. Et chaque table est libre d'exécuter
> les chaînes qu'elles veut à chaque point d'ancrage. C'est par convention
> que les chaînes des différentes tables exécutées à un même point
> d'ancrage ont le même nom.
> 
> J'avais déjà publié le schéma suivant qui montre les "positions" des
> chaînes des différentes tables les unes par rapport aux autres et par
> rapport aux autres opérations de la pile IP (fragmentation, décision de
> routage...) :
> 
> http://www.plouf.fr.eu.org/bazar/netfilter/schema_netfilter.txt
> 
> 
Super...
Merci beaucoup pour tous ces renseignements. Et le lien.
P.

Reply to:

References:
- problème réseau
  - From: pascal <pascalgosse@wanadoo.fr>
- Re: problème réseau
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: problème réseau
  - From: pascal <pascalgosse@wanadoo.fr>
- Re: problème réseau
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: problème réseau
  - From: pascal <pascalgosse@wanadoo.fr>
- Re: problème réseau
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: problème réseau
  - From: pascal <pascalgosse@wanadoo.fr>
- Re: problème réseau
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: problème réseau
Next by Date: Re: problème réseau
Previous by thread: Re: problème réseau
Next by thread: Re: problème réseau
Index(es):
- Date
- Thread