Salut, Serge Cavailles a écrit :
Le samedi 26 avril 2008 20:37, Sylvain Sauvage a écrit :mess-mate, samedi 26 avril 2008, 20:16:12 CESTIl fallait donc que je détecte si un changement d'ip a eu lieu afin de redémarrer shorewall.
Si c'est du DHCP, il n'y a pas moyen de faire ça depuis le client DHCP (cf. dhclient-script avec dhclient) ? Idem si c'est du PPP.
Simple, tu utilisais DNAT et il aurait fallu utiliser MASQUERADE. DNAT doit connaître l'IP, donc il faut changer la règle à chaque changement. MASQUERADE est « étudié pour » les IP dynamiques.Sauf erreur de ma part, le masquerading s'applique aux IPs sources, pas destination.
En effet.
La différence avec le SNAT tient à ce qu'en SNAT on utilise un pool d'IPs différentes de celle du routeur, alors qu'en MASQ c'est l'IP du routeur qui est utilisée.
Ce n'est pas la seule différence, et de toute façon rien n'empêche d'utiliser l'adresse du routeur avec SNAT. La cible MASQUERADE a ceci de particulier - et d'intéressant pour l'adressage dynamique - que les connexions qu'elle a NATées sont effacées de la table de suivi de connexion/NAT lorsque l'interface correspondante tombe ou change d'adresse IP. Ce n'est pas le cas avec SNAT, et on peut se retrouver avec des connexions perdues puisque l'adresse a changé mais qui persistent et occupent de la place dans la table de suivi.