Le lundi 21 mars 2005 à 22:28 +0100, Pascal@plouf a écrit :
[...]
> > 2- charger les modules de suivi:
> > #modprobe iptables_nat
> > #modprobe ip_nat_irc
> > #modprobe ip_nat_ftp
>
> Comme leur nom le suggère, ceux-ci sont plutôt les modules de NAT, et au
> passage le premier s'appelle iptable_nat (sans "s", c'est le module de
> _la_ table nat).
Bien vu!
> Les modules de suivi de connexion sont ip_conntrack,
> ip_conntrack_ftp... Normalement les modules de base (ip_conntrack,
> iptable_nat) sont chargés automatiquement par les règles iptables (-m
> state, -t nat) ou les modules spécifiques (ip_nat_ftp, ip_conntrack_ftp)
> qui en ont besoin.
>
> > 3-Définir les règles de fw idoines:
> > #iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.2.0/24 -d \
> > 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
> > #iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d \
> > 192.168.2.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> Pourquoi surcharger les règles avec des conditions sur 0.0.0.0/0 qui
> sont toujours remplies ?
Mince, il me semblait avoir une raison; mais en y réfléchissant là, ça
me semble aussi inutile...
>
> > #iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.0/24 -j MASQUERADE
>
> Plutôt -o eth0, celle-ci étant l'interface de sortie vers internet.
>
> Pour finir, je suis d'accord avec J.Pierre : il serait bien plus simple
> de raccorder directement les deux machines sur le routeur au moyen d'un
> switch si ce dernier n'a qu'un seul port LAN.
Certes, mais la question du môssieu concernait le routage, et
l'utilisation de deux cartes rezo sur une machine laisse penser qu'il
veut autre chose qu'un switch?...
Tout à fait d'accord sur le 'plus simple'.
>
> Une autre possibilité à peu près équivalente serait de créer un pont
> ethernet transparent entre les deux interface eth0 et eth1 de la
> première machine, ce qui transformerait celle-ci en switch à deux ports.
> Cf. l'outil brctl du paquetage bridge-utils, et le Bridging HOWTO
> (http://bridge.sourceforge.net/howto.html). Comme le switch, ça évite de
> mettre en place du routage IP et de la NAT.
>
--
-----------------------------------------------------------------------
Ma clé GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Protégez votre vie privée: |
\|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/
Attachment:
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=