Re: Je désire avancer sur le script d'iptables :)!

To: debian-user-french@lists.debian.org
Subject: Re: Je désire avancer sur le script d'iptables :)!
From: "Annie D." <annie.demur@free.fr>
Date: Sun, 08 Aug 2004 17:57:28 +0200
Message-id: <[🔎] 41164D68.B4CBD199@free.fr>
Reply-to: anita.news@nerim.net
References: <2pTi1-5LZ-7@gated-at.bofh.it> <2pTi1-5LZ-5@gated-at.bofh.it> <2pUnI-6yR-3@gated-at.bofh.it>

Bonjour,

"J.Pierre Pourrez" wrote:
> 
> $I -A OUTPUT -p tcp -d ! $INTRANET --destination-port 80      -j DNAT --to-destination $PROXY
> 
> Hélas, ma 2ème règle pour le poste connecté directement à internet, sur lequel je travaille, ne passe pas.
> 
> Pourtant d'après "man iptables" la cible DNAT est permise pour la chaine OUTPUT

Quelle version de noyau ?

J'ai été confrontée au problème à mes débuts avec Netfilter/iptables sur
Woody, voici les informations que j'en ai retirées :

Dans les noyaux inférieurs à 2.4.19, DNAT en OUTPUT ne marche pas
correctement si la destination est une autre machine. En fait c'est
l'opération de dé-NATage des paquets retour qui ne se fait pas.

Dans les noyaux 2.4.19 et ultérieurs, il faut que l'option
CONFIG_IP_NF_NAT_LOCAL ait été activée à la compilation. Ça marche aussi
avec un noyau plus ancien auquel on a appliqué le patch du patch-o-matic
pour la mise à jour de Netfilter en version 2.4.19 au moins (on ne peut
pas aller beaucoup plus loin, probablement à cause des patches
spécifiques à Debian). C'est ce que j'ai fait avec le noyau 2.4.18
stable de Debian.

Reply to:

Follow-Ups:
- Re: Je désire avancer sur le script d'iptables :)!
  - From: "J.Pierre Pourrez" <jpourrez.antispam@free.fr>

Prev by Date: Re: erreur compilation noyau
Next by Date: windows 2000 -> Samba 3
Previous by thread: Re: probleme avec les pts
Next by thread: Re: Je désire avancer sur le script d'iptables :)!
Index(es):
- Date
- Thread