herve thibaud a écrit :
J'ai essayé la règle (avec port 80) sur un poste avec un noyau 2.6.18-rc5-git6. J'accède aux sites en entrant leurs adresses.
Tu veux dire leurs noms de domaine qui pointent sur l'adresse IP publique ? Problème réglé, alors. Mais ça aurait dû marcher aussi avec shorewall qui devait générer une règle iptables similaire (à vérifier avec iptables-save). Du moins je le suppose, ne connaissant rien à la syntaxe de shorewall. Que se passait-il exactement ?
ci dessous un morceau des traces que je trouve dans le fichier syslogeurope:/var/log# cat syslog | grep NAT[...]Nov 5 07:44:12 europe kernel: NAT: no longer support implicit source local NAT Nov 5 07:44:12 europe kernel: NAT: packet src 192.168.0.6 -> dst 81.56.198.85
[...]Ce message d'avertissement du noyau apparaît au plus une fois à chaque chargement des modules NAT du noyau, donc en gros une fois par redémarrage sauf si on s'amuse à décharger et recharger les modules. La formulation de la seconde ligne est un peu étrange puisque 'src' est l'adresse destination (!) après DNAT, 'dst' étant l'adresse destination originale. Je pense que c'est un bug, sans gravité.
D'après ce que je comprends du code source de la fonction warn_if_extra_mangle() qui émet le message, 'src' (paramètre srcip) devrait être l'adresse source du paquet et 'dst' (paramètre dstip) la nouvelle adresse destination. L'appel de la fonction a dû s'emmêler les pinceaux. :-) D'ailleurs dans ton cas, si la fonction warn_if_extra_mangle() était appelée avec les bons paramètres, tu n'aurais même pas ce message puisque l'adresse source n'a pas lieu de changer.