Re: SNAT depuis le firewall

To: Raphael Manfredi <ram@ram.fr.eu.org>
Cc: debian-french@lists.debian.org
Subject: Re: SNAT depuis le firewall
From: Laurent Foucher <foucher@gch.iut-tlse3.fr>
Date: Sun, 20 May 2001 10:06:39 +0200
Message-id: <3B077B0F.8EC19CBA@gch.iut-tlse3.fr>
References: <9e6bsh$v0r$1@lyon.ram.loc>

Raphael Manfredi wrote:

>
> Version longue:
> ---------------
>
> J'ai un probleme avec ma configuration iptables sur mon routeur en 2.4.4.
> J'utilise SNAT au lieu de MASQUERADE parce que mon IP est quasi-fixe.
> Le masquerading fonctionne tres bien pour les machines du reseau, mais
> pas pour le routeur lui-meme?
>
> J'ai mis comme regle:
>
>         iptables -t nat -A POSTROUTING -o $PPP_IFACE -j SNAT
>                 -p tcp --to-source $PPP_LOCAL:61000-65000
>
> et j'interdis (et logge) les entrees depuis $PPP_IFACE (i.e. ppp0)
> hors du range 61000-65000.

Bonjour,

Je suis surpris que les machines du réseau fonctionnent. En effet, avec cette
configuration,
tous paquets émis du réseau revient avec l'addresse PPP_LOCAL et le routeur n'a
aucun moyen
de savoir que ce paquet est destiné à une machine du réseau. L'option de
masquage résout ce problème
en modifiant les ports sources et en établissant une correspondance entre ce
nouveau port  et la machine
émettrice. L'option simple de masquage est :

iptables -t nat  -A postrouting -o $PPP_IFACE -j MASQUERADE

>
> Question subsidiaire: comment changer les regles pour masquerader en SNAT
> les paquets locaux, puisque POSTROUTING ne marche pas?
>

iptables -t nat  -A postrouting -o $PPP_IFACE  -s PPP_LOCAL -j MASQUERADE

Laurent Foucher

Reply to:

Follow-Ups:
- Re: SNAT depuis le firewall
  - From: Raphael_Manfredi@pobox.com (Raphael Manfredi)

References:
- SNAT depuis le firewall
  - From: ram@ram.fr.eu.org (Raphael Manfredi)

Prev by Date: Re: Plugin pour opera 5 + codec divx
Next by Date: Re: Plugin pour opera 5 + codec divx
Previous by thread: SNAT depuis le firewall
Next by thread: Re: SNAT depuis le firewall
Index(es):
- Date
- Thread