Vous n'êtes pas identifié(e).
Pages : 1
Je pensais toujours que la table nat est pour deux PC. Mais en mettant
iptables -t nat -P PREROUTING DROP
iptables -t nat -P OUTPUT DROP
iptables -t nat -P POSTROUTING DROP
je ne peux pas me connecter à l'internet (par adsl pppoe). Il faut mettre ACCEPT au lieu de DROP.
Quelqu'un peut-il m'expliquer un peu cette table nat ? Merci.
Hors ligne
en fait, il y a de fortes chances que ce soit le DROP sur POSTROUTING qui foute le bordel.
Normalement, tu dois rajouter ceci
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Cette ligne permet de faire en sorte que l'addresse ip enovyant le paquet ip soit ton adresse ppp et non pas ton addresse du LAN.
En clair, tu fais une requete a un serveur alors que ton ip est 192.168.0.2, lors de la reponse a ton paquet cherchera a envoyer a 192.168.0.2, et non pas a ton addresse ppp sans cette ligne.
Si tu met la police par defaut a DROP, il y a donc des chances que ca ne marche plus.
Teste en laissant celle-ci en ACCEPT, logiquement, les autres ne jouent pas pour l'acces au net.
Développeur FANI
http://www.fani-project.org
Hors ligne
En fait, le NAT permet à une machine de se faire passer pour une autre...
Je m'explique, la machine qui fait le NAT est la passerelle vers internet (par exemple) de tes machines appartenant au réseau local.
Ces machines vont chercher à contacter un serveur sur le net avec leur adresse IP propre. Or, dans le cas qui nous interesse, ces adresse privée ne sont pas routable sur internet. Donc, c'est la machine NAT qui fera la requete à ta place avec son adresse publique à elle, qui recevra la réponse et qui la retransmettra...
Pour cela, la machine qui fait du NAT tiens à jour une table contenant les différentes connexions en cours pour les machines de son réseau local...voilà..j'espère que c'est plus clair.
Je pensais toujours que la table nat est pour deux PC
euh, j'ai rien compris...bref, si tu mets drop dans tous les sens sur la table nat, c'est sur que de l'interieur de ton réseau rien ne passera car les paquets seront jeté et oublié dès qu'il arriverons sur ta machine...avant même d'être routé depuis ton réseau local vers internet...
mainteant, logiquement, il n'y a rien à configurer dans la table NAT pour un PC directement connecté au net...
sinon, un peu de lecture sympa ici.
++
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne
Je pensais toujours que la table nat est pour deux PC
euh, j'ai rien compris...bref, si tu mets drop dans tous les sens sur la table nat, c'est sur que de l'interieur de ton réseau rien ne passera car les paquets seront jeté et oublié dès qu'il arriverons sur ta machine...avant même d'être routé depuis ton réseau local vers internet...
J'explique:
je n'ai pas de réseau local, juste un pc portable qui connecte à internet par un modem adsl etherent externe (pppoe).
Dans les doc que j'ai lu, quand on parle de nat, on traite souvent le cas de réseau local, pas ma situation.
J'ai donc fait des tests en mettant que des DROP pour la table nat.
Voilà l'origine de ma question.
Maintenant dans ma situation, quel est le "réseau local", qui est le "server nat" ?
Hors ligne
dans ta situation, tu n'a donc aucun besoin de NAT...
tu peux donc juste mettre
iptables -F -t nat
qui te videra toutes les rèle NAT de ta configuration netfilter...
Mais de toute façon, je suppose que cette ligne doit déjà exister en début de ton script car en général, on commence la configuration netfilter en nettoyant toutes les table...NAT inclus...
Donc, une fois ta table nat nettoyé, tu n'a pas besoin de t'en servir...donc, aucune règle nat avec drop etc...
++
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne
Oui, j'ai déjà cette ligne.
Si je ne mets pas de règles après le nettoyage de la table nat, est-ce équivalent à ACCEPT par défaut ?
Si je mets des DROP, ça coupe la liason ppp0 et eth0 ?
Enfin, la table mangle, faut mettre quelques chose ?
Hors ligne
Une excellente doc qui explique vraiment bien et Iptables, et même le fonctionnenet des connexions Internet en général. http://christian.caleca.free.fr/netfilter.html
Très clair et très pédagogique, cela devrait répondre à toutes tes questions (et non a priori, vu ta configuration tu n'as pas besoin de toucher à la table mangle)
Korova qui a lu cette doc et a configuré son firewall après, sans souci.
Korova, aventurière (même pas peur) GNU/linux depuis 2003
Hors ligne
Salut,
Par défaut, si tu mets rien dans cette table, elle ne sera pas utilisée, c'est tout
la table qui t'interesse pour fair un firewall est la table filter...celle dans laquelle les règles sont entrée par défaut...
la table mangle permet de faire des modification sur les paquets qui passe sur ta machine...je ne pense pas que ce soit ton cas, donc, comme pour le nat, tu n'y touche pas
voilà, bon courage,
++
[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222
Hors ligne
Pages : 1