Serge Cavailles a écrit :
Que donne un "echo /proc/sys/net/ipv4/ip_forward" ?
Bonne idée de vérifier ce réglage, mais il ne peut affecter que les communication entre les postes du réseau interne et la Livebox ou le reste du monde. Il n'a aucun effet sur les communication entre la passerelle et les postes du réseau interne.
Le SNAT est fait pour permettre l'utilisation d'un pool (groupe?) d'IPs par le routeur, le masquerading peut être vu comme le cas particulier ou le pool est réduit à une seule IP, celle du routeur.
Non, MASQUERADE est bien plus qu'un cas particulier de SNAT réduit à une seule adresse. MASQUERADE utilise l'adresse IP de l'interface de sortie, et dans certains cas l'adresse que la machine utiliserait pour communiquer avec la destination via cette interface de sortie. Il a (ou avait, je ne suis pas sûr que cette fonctionnalité soit maintenue dans les noyaux récents) la particularité de nettoyer les connexions masquées existantes liées à une interface lorsque cette dernière change d'état. Il est donc particulièrement utile quand cette adresse est dynamique, non connue à l'avance et susceptible de changer.
Personnellement, je trouve difficilement compréhensible et trompeuse la sortie de iptables -L ou de iptables-save.
Je suis d'accord concernant iptables -L, surtout si on omet l'option -v car cela cache certaines options capitales. Par contre j'aime bien le format de sortie d'iptables-save très proche de la syntaxe des règles iptables, malgré parfois quelques bugs d'affichage comme des "!" (inversions) manquants.
La liste des commandes iptables lancées me serait plus parlante.
A condition que cette liste reflète fidèlement les règles réellement en place.