Re: syntaxe iptable...
Le samedi 06 décembre 2003, alde a écrit...
bonjour,
> #Ouverture pour download signature ETrust innoculated
> iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1113 -j
> DNAT --to 192.168.0.1:1113
> iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1113 -j
> ACCEPT
Je dirais:
* que si la connexion est initialisée par 192.168.0.1 ce n'est pas la
peine de faire du DNAT, le forwarding va le faire tout seul. Et pourquoi
1113 ? Tu as un serveur sur ce port pour qu'un input doive s'y
connecter ?
* que j'avoue mon ignorance quand au -m udp
il me semblait que -m (ou --match) devait se rapporter à un nom de
module ? Alors si j'ai faux ce serait bien qu'on me le dise.
> iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1117 -j
> DNAT --to 192.168.0.1:1117
> iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1117 -j
> ACCEPT
> iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 1119 -j
> DNAT --to 192.168.0.1:1119
> iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.0.1 --dport 1119 -j
> ACCEPT
Voir supra.
> Ce que je voudrais c que ds ces lignes le nat ce fasse pour l'iup
> 192.168.0.1 et pour 192.168.0.4. Est ce possible ou il faut que je duplique
> toutes ces lignes ?
On peut adresser avec une notation cidr soit ip/masque pour -s et
-d mais avec un masque sur 29 bits tu as possibilité de définir ces deux
adresses (et d'autres aussi) et ce n'est pas forcément que tu souhaites.
Pour le --to tu peux faire pareil mais voir le nat-HOWTO pour ce truc bien
particulier.
Sinon il y aurait aussi pour le --to
192.168.0.1-192.168.0.4
mais ça constitue aussi une plage
> Mon fichier ce nomme iptable.sh Toutes mes regles ne sont pas actives apres
> un reboot serveur. Je sais qu'il existe un moyen pour executer le scrypt en
> auto.
/etc/init.d/iptables save active
mais s'assurer que c'est cong=figuré pour être lancé au boot:
dpkg-reconfigure iptables je suppute.
--
jean-michel
Reply to: