Re: ouvrir un port iptable je suis perdu...
Le dimanche 12 octobre 2003, alde a écrit...
bonjour,
> > Tu ne devrais pas mettre ta règle par défaut pour FORWARD sur ACCEPT.
> > Tes dernières règles n'ont pas de sens (PREROUTING et DNAT)
> Tu veux dire que si je met accept mes dernieres regles ne servent a rien ?
Je veux dire que mettre ACCEPT par défaut n'est pas bon. Après tout
l'option -g de nmap doit bien servir à quelque chose...
Concernant le DNAT:
* lorsque tu te connectes en temps que _client_, il t'est attribué un n°
de port sup à 1023 mais qui n'est pas déterminé à l'avance (sauf applis
faites pour, nmap -g par exemple.). La table de connexion est là pour
gérer les correspondances.
* tu voudras faire du dnat lorsque tu offres un service qui n'est pas
directement connecté au web, car le correspondant ne connait que la
passerelle. Le dnat est fait pour envoyer les paquets vers une machine
et un port donné et prévisible, qui n'est pê pas le port sur lequel
croit se connecter le correspondant d'ailleurs..
* dans le cas du ftp actif le client se comporte en serveur donc offre
un service mais sur un port qui n'est pas déterminable. Difficile de
faire du dnat dans ce cas. D'où l'utilité de ip_nat_ftp
--
Jean-Michel
N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
Reply to: