iptables nat

bz31 · 24/09/2004 21:52:39

Je pensais toujours que la table nat est pour deux PC. Mais en mettant

iptables -t nat -P PREROUTING  DROP
iptables -t nat -P OUTPUT      DROP
iptables -t nat -P POSTROUTING DROP

je ne peux pas me connecter à l'internet (par adsl pppoe). Il faut mettre ACCEPT au lieu de DROP.
Quelqu'un peut-il m'expliquer un peu cette table nat ? Merci.

Darkalia · 25/09/2004 01:58:15

en fait, il y a de fortes chances que ce soit le DROP sur POSTROUTING qui foute le bordel.

Normalement, tu dois rajouter ceci
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Cette ligne permet de faire en sorte que l'addresse ip enovyant le paquet ip soit ton adresse ppp et non pas ton addresse du LAN.
En clair, tu fais une requete a un serveur alors que ton ip est 192.168.0.2, lors de la reponse a ton paquet cherchera a envoyer a 192.168.0.2, et non pas a ton addresse ppp sans cette ligne.

Si tu met la police par defaut a DROP, il y a donc des chances que ca ne marche plus.
Teste en laissant celle-ci en ACCEPT, logiquement, les autres ne jouent pas pour l'acces au net.

bz31 · 25/09/2004 10:10:14

Merci. Si j'ai bien compris, parce qu'en pppoe, j'ai deux inerfaces eth0 et ppp0, et les règles de nat contrôlent la liason entre ellles.

ioguix · 25/09/2004 16:04:05

En fait, le NAT permet à une machine de se faire passer pour une autre...

Je m'explique, la machine qui fait le NAT est la passerelle vers internet (par exemple) de tes machines appartenant au réseau local.

Ces machines vont chercher à contacter un serveur sur le net avec leur adresse IP propre. Or, dans le cas qui nous interesse, ces adresse privée ne sont pas routable sur internet. Donc, c'est la machine NAT qui fera la requete à ta place avec son adresse publique à elle, qui recevra la réponse et qui la retransmettra...

Pour cela, la machine qui fait du NAT tiens à jour une table contenant les différentes connexions en cours pour les machines de son réseau local...voilà..j'espère que c'est plus clair.

Je pensais toujours que la table nat est pour deux PC

euh, j'ai rien compris...bref, si tu mets drop dans tous les sens sur la table nat, c'est sur que de l'interieur de ton réseau rien ne passera car les paquets seront jeté et oublié dès qu'il arriverons sur ta machine...avant même d'être routé depuis ton réseau local vers internet...

mainteant, logiquement, il n'y a rien à configurer dans la table NAT pour un PC directement connecté au net...

sinon, un peu de lecture sympa ici.

++

bz31 · 25/09/2004 16:43:27

Je pensais toujours que la table nat est pour deux PC
euh, j'ai rien compris...bref, si tu mets drop dans tous les sens sur la table nat, c'est sur que de l'interieur de ton réseau rien ne passera car les paquets seront jeté et oublié dès qu'il arriverons sur ta machine...avant même d'être routé depuis ton réseau local vers internet...

J'explique:
je n'ai pas de réseau local, juste un pc portable qui connecte à internet par un modem adsl etherent externe (pppoe).
Dans les doc que j'ai lu, quand on parle de nat, on traite souvent le cas de réseau local, pas ma situation.
J'ai donc fait des tests en mettant que des DROP pour la table nat.
Voilà l'origine de ma question.
Maintenant dans ma situation, quel est le "réseau local", qui est le "server nat" ?

ioguix · 25/09/2004 16:56:15

dans ta situation, tu n'a donc aucun besoin de NAT...

tu peux donc juste mettre

iptables -F -t nat

qui te videra toutes les rèle NAT de ta configuration netfilter...

Mais de toute façon, je suppose que cette ligne doit déjà exister en début de ton script car en général, on commence la configuration netfilter en nettoyant toutes les table...NAT inclus...

Donc, une fois ta table nat nettoyé, tu n'a pas besoin de t'en servir...donc, aucune règle nat avec drop etc...

++

bz31 · 25/09/2004 17:09:58

Oui, j'ai déjà cette ligne.
Si je ne mets pas de règles après le nettoyage de la table nat, est-ce équivalent à ACCEPT par défaut ?
Si je mets des DROP, ça coupe la liason ppp0 et eth0 ?

Enfin, la table mangle, faut mettre quelques chose ?

Korova · 25/09/2004 17:33:05

Une excellente doc qui explique vraiment bien et Iptables, et même le fonctionnenet des connexions Internet en général. http://christian.caleca.free.fr/netfilter.html

Très clair et très pédagogique, cela devrait répondre à toutes tes questions (et non a priori, vu ta configuration tu n'as pas besoin de toucher à la table mangle)

Korova qui a lu cette doc et a configuré son firewall après, sans souci.

ioguix · 25/09/2004 17:33:29

Salut,

Par défaut, si tu mets rien dans cette table, elle ne sera pas utilisée, c'est tout

la table qui t'interesse pour fair un firewall est la table filter...celle dans laquelle les règles sont entrée par défaut...

la table mangle permet de faire des modification sur les paquets qui passe sur ta machine...je ne pense pas que ce soit ton cas, donc, comme pour le nat, tu n'y touche pas

voilà, bon courage,

++

Andesi - forum

#1 24/09/2004 21:52:39

iptables nat

#2 25/09/2004 01:58:15

Re : iptables nat

#3 25/09/2004 10:10:14

Re : iptables nat

#4 25/09/2004 16:04:05

Re : iptables nat

#5 25/09/2004 16:43:27

Re : iptables nat

#6 25/09/2004 16:56:15

Re : iptables nat

#7 25/09/2004 17:09:58

Re : iptables nat

#8 25/09/2004 17:33:05

Re : iptables nat

#9 25/09/2004 17:33:29

Re : iptables nat

Pied de page des forums