Re: lsNAT : No longer support implicit source local NAT

To: debian-user-french@lists.debian.org
Subject: Re: lsNAT : No longer support implicit source local NAT
From: herve thibaud <ht_deb@beltegeuse.org>
Date: Sun, 12 Nov 2006 07:29:03 +0100
Message-id: <[🔎] 4556BF2F.4070800@beltegeuse.org>
In-reply-to: <[🔎] 455605E7.7000706@plouf.fr.eu.org>
References: <[🔎] 4555D202.7060007@beltegeuse.org> <[🔎] 4555E373.5050007@plouf.fr.eu.org> <[🔎] 4555F437.3040706@beltegeuse.org> <[🔎] 455605E7.7000706@plouf.fr.eu.org>

Pascal Hambourg wrote:

herve thibaud a écrit :
J'ai essayé la règle (avec port 80) sur un poste avec un noyau2.6.18-rc5-git6. J'accède aux sites en entrant leurs adresses.
Tu veux dire leurs noms de domaine qui pointent sur l'adresse IPpublique ? Problème réglé, alors.

Exact

Mais ça aurait dû marcher aussi avec shorewall qui devait générer unerègle iptables similaire (à vérifier avec iptables-save). Du moins jele suppose, ne connaissant rien à la syntaxe de shorewall. Que sepassait-il exactement ?

Ca marche avec shorewall. Juste que je n'avais jamais vu ce messaged'erreur. Ce qui m'a inquiété c'est de pouvoir me retrouver avec uneerreur plus grave qui interdise le démarrage de shorewall. En fait c'estce qui m'était arrivé en tentant d'installer un noyau plus récent.Peut-être il y avait-il un autre problème, mais je ne suis qu'un amateuret franchement la doc tout en anglais déjà que je trouve difficiled'avaler quand c'est en français ...Peut-être que je me trompe mais il me semble que sur l'autre poste avecun noyau plus récent (mise à jour régulière à partir de kernel.org), unetelle règle empéchait le démarrage de shorewall. Mais je ne me suis pasacharner

ci dessous un morceau des traces que je trouve dans le fichier syslog
europe:/var/log# cat syslog | grep NAT
[...]
Nov 5 07:44:12 europe kernel: NAT: no longer support implicitsource local NATNov 5 07:44:12 europe kernel: NAT: packet src 192.168.0.6 -> dst81.56.198.85
[...]
Ce message d'avertissement du noyau apparaît au plus une fois à chaquechargement des modules NAT du noyau, donc en gros une fois parredémarrage sauf si on s'amuse à décharger et recharger les modules.La formulation de la seconde ligne est un peu étrange puisque 'src'est l'adresse destination (!) après DNAT, 'dst' étant l'adressedestination originale. Je pense que c'est un bug, sans gravité.

En effet, la règle que tu me donnes, laisse la même trace dans syslog.

D'après ce que je comprends du code source de la fonctionwarn_if_extra_mangle() qui émet le message, 'src' (paramètre srcip)devrait être l'adresse source du paquet et 'dst' (paramètre dstip) lanouvelle adresse destination. L'appel de la fonction a dû s'emmêlerles pinceaux. :-)D'ailleurs dans ton cas, si la fonction warn_if_extra_mangle() étaitappelée avec les bons paramètres, tu n'aurais même pas ce messagepuisque l'adresse source n'a pas lieu de changer.

Là je suis largué depuis longtemps... je suis devenu allergique auxconcepts informatiques.


Merci

Reply to:

Follow-Ups:
- Re: lsNAT : No longer support implicit source local NAT
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

References:
- lsNAT : No longer support implicit source local NAT
  - From: herve thibaud <ht_deb@beltegeuse.org>
- Re: lsNAT : No longer support implicit source local NAT
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
- Re: lsNAT : No longer support implicit source local NAT
  - From: herve thibaud <ht_deb@beltegeuse.org>
- Re: lsNAT : No longer support implicit source local NAT
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: Un environnement de bureau en esperanto
Next by Date: [etch-kde] pairing bluetooth
Previous by thread: Re: lsNAT : No longer support implicit source local NAT
Next by thread: Re: lsNAT : No longer support implicit source local NAT
Index(es):
- Date
- Thread