Re: Comment visualiser le contenu du NAT d'iptables ?

To: debian-user-french@lists.debian.org
Subject: Re: Comment visualiser le contenu du NAT d'iptables ?
From: Gilles Mocellin <gilles.mocellin@nuagelibre.org>
Date: Thu, 19 Jun 2014 01:48:50 +0200
Message-id: <[🔎] 53A22562.1040805@nuagelibre.org>
In-reply-to: <[🔎] CAPeT9jhbPbziSbTsP7CZ6GXs_X7rLP6wD+vtNo5OneoW6gUNLw@mail.gmail.com>
References: <[🔎] CAPeT9jhbPbziSbTsP7CZ6GXs_X7rLP6wD+vtNo5OneoW6gUNLw@mail.gmail.com>

Le 18/06/2014 22:26, Olivier a écrit :
> Bonjour,
>
> J'ai un réseau dont le routeur principal est une machine sous Wheezy.
>
> Ce routeur effectue du NAT au profit d'utilisateurs d'un réseau WiFi.
> Le NAT est implémenté par une règle IPtables du type:
> iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to-source ${WAN_IP}
>
>
> J'observe dans les logs une multitude de lignes comme:
>
> Jun 18 16:19:57 foo kernel: [4670104.045210] Denied TCP: IN=eth0 OUT=
> MAC=c0:3f:d5:60:36:37:40:5a:9b:bb:60:a1:08:00 SRC=157.55.235.149
> DST=192.168.1.243 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=55546 DF
> PROTO=TCP SPT=40001 DPT=51296 WINDOW=35 RES=0x00 ACK FIN URGP=0
>
> Les adresses MAC visibles sont bien celles de ma destination et du
> routeur source.
>
>
> J'interprète ces lignes de la façon suivante:
>
> - un utilisateur du WiFi émet une requête vers Internet,
>
> - l'IP source de la requête est modifiée par mon routeur sous Wheezy
> qui enregistre au passage la correspondance dans une table avant
> d'envoyer la requête modifiée au modem-routeur du lien ADSL (très chargé)
>
> - si la réponse en provenance d'Internet est trop tardive (ou pour une
> autre raison à identifier) alors IP tables ne retrouve l'entrée idoine
> dans sa table de correspondance et écarte la réponse
>
>
> Comment valider ou invalider ma théorie ?
>
> Comment visualiser l'état des tables de NAT ?
>
> Est-il possible-souhaitable d'augmenter la durée de rétention des
> correspondance du NAT avec iptables ?
>
> Slts
>

Bonsoir,

Je pense qu'avec le paquet netstat-nat, tu dois pouvoir trouver ton
bonheur :

aptitude show netstat-nat      
Paquet : netstat-nat                                   
État: non installé
Version : 1.4.10-3
Priorité : optionnel
Section : net
Responsable : Gustavo Paniagua dos Santos <paniagua.gustavo@gmail.com>
Architecture : amd64
Taille décompressée : 28,7 k
Dépend: libc6 (>= 2.14)
Est en conflit: netstat-nat
Description : tool that display NAT connections
 Netstat-nat is a program that displays Network Address Translations
(NAT) connections, managed by netfilter/iptables acting as firewall.
 
 NAT rules are stored in memory. However, the program reads its
information from '/proc/net/ip_conntrack', which is the temporary
conntrack-storage of netfilter.
Site : http://www.tweegy.nl/projects/netstat-nat/

Étiquettes: admin::monitoring, implemented-in::c,
interface::commandline, network::firewall, role::program,
scope::utility, security::firewall, use::monitor

Reply to:

References:
- Comment visualiser le contenu du NAT d'iptables ?
  - From: Olivier <oza.4h07@gmail.com>

Prev by Date: nautilus-open-terminal ne marche pas sur ma Wheezy
Next by Date: Re: Comment visualiser le contenu du NAT d'iptables ?
Previous by thread: Re: Comment visualiser le contenu du NAT d'iptables ?
Next by thread: Re: Comment visualiser le contenu du NAT d'iptables ?
Index(es):
- Date
- Thread