[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] iptables, DNS sur une machne du LAN



Le poulpe qui bloppe ! a écrit :

Voici mon script à l'heure actuelle: http://fyxx.free.fr/001iptables.txt

$IPTABLES -t nat -A FORWARD -i $IF_LAN -p tcp -d $MOE --dport 53 -j ACCEPT

1) Il n'y a pas de chaîne FORWARD dans la table 'nat'. Une coquille, je suppose.

2) Si je lis bien, cette règle est censée accepter les paquets entrant par l'interface LAN destinés au serveur local. Autant dire qu'elle ne doit pas accepter grand chose venant de l'extérieur.

$IPTABLES -t nat -A PREROUTING -i $IF_WAN -p tcp --dport 53 -j DNAT --to-dest $MOE
$IPTABLES -t nat -A POSTROUTING -o $IF_LAN -p tcp -d $MOE --dport 53 -j ACCEPT

2) C'est quoi le but de la règle ACCEPT dans la chaîne nat/POSTROUTING, sachant que la politique par défaut des chaînes de la table 'nat' est normalement déjà ACCEPT ?

####################         Masquerading        ####################
#####################################################################
##### Seul les PC de confience
$IPTABLES -t nat -A POSTROUTING -s $SMITHERS -o $IF_WAN -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $MOE -o $IF_WAN -j MASQUERADE
[...]

On ne fait pas de filtrage avec la table 'nat'. Si on veut empêcher des postes de sortir, on bloque avec DROP ou REJECT dans la chaîne filter/FORWARD. Tel quel, ça pollue internet en laissant sortir des paquets avec leurs adresses source privées originales.


Accessoirement, où est le traitement des paquets retour ? Pas étonnant que plus rien ne marche avec les politiques par défaut à DROP.



Reply to: