Re: Je désire avancer sur le script d'iptables :)!
Bonjour,
"J.Pierre Pourrez" wrote:
>
> $I -A OUTPUT -p tcp -d ! $INTRANET --destination-port 80 -j DNAT --to-destination $PROXY
>
> Hélas, ma 2ème règle pour le poste connecté directement à internet, sur lequel je travaille, ne passe pas.
>
> Pourtant d'après "man iptables" la cible DNAT est permise pour la chaine OUTPUT
Quelle version de noyau ?
J'ai été confrontée au problème à mes débuts avec Netfilter/iptables sur
Woody, voici les informations que j'en ai retirées :
Dans les noyaux inférieurs à 2.4.19, DNAT en OUTPUT ne marche pas
correctement si la destination est une autre machine. En fait c'est
l'opération de dé-NATage des paquets retour qui ne se fait pas.
Dans les noyaux 2.4.19 et ultérieurs, il faut que l'option
CONFIG_IP_NF_NAT_LOCAL ait été activée à la compilation. Ça marche aussi
avec un noyau plus ancien auquel on a appliqué le patch du patch-o-matic
pour la mise à jour de Netfilter en version 2.4.19 au moins (on ne peut
pas aller beaucoup plus loin, probablement à cause des patches
spécifiques à Debian). C'est ce que j'ai fait avec le noyau 2.4.18
stable de Debian.
Reply to: