Re: iptables et redirection (niveau débutant)

[Frédéric Moinard <fcjotw@orange.fr>]

Bonsoir,

Pascal Hambourg a écrit :
> Salut,
>
> Frédéric Moinard a écrit :
> > passerelle sur laquelle marchent dansguardian et squidguard (sur les 
> > ports par défaut), avec un firewall qui dit entre autres (tout copié 
> > sur internet):
> >
> > ## $EXT est l'interface qui sort sur internet...
> > $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp -m multiport --dport 
> > 80,3128 -j REDIRECT --to-port 8080
> > ## evidemment, juste pour s'entrainer:
> > $IPTABLES -t nat -A PREROUTING -i ! $EXT -p tcp --dport 6666 -j 
> > REDIRECT --to-port 3128
>
> Pour s'entraîner à quoi ?

A essayer de comprendre un peu moins mal iptables ;-) ?

> A quoi correspond le port 6666 ?
A celui qui envoie directement sur squid sans passer par la case 
dansguardian, non ? Ce qui évite à ceux aux courant (je rappelle: réseau 
à la maison, les enfants vont forcément devenir inventifs...) de ce port 
 d'être filtré sur internet.

> > Pas très élégant, mais je ne vois pas comment faire mieux (si, choisir 
> > un port moins trivial que 6666).
>
> Faire mieux que quoi ?
>
> > La question: peut-on définir une règle qui permette de passer 
> > directement, en évitant dansguardian et squidguard ?
>
> On peut par exemple insérer avant les règles de redirection une règle 
> avec la cible ACCEPT ou RETURN au lieu de REDIRECT. En supposant bien 
> sûr que tout le nécessaire pour que la passerelle fonctionne en routeur 
> est en place.

Normalement, oui. Je m'en vais me documenter dans cette direction, merci !

--
Cordialement,

  Frédéric Moinard