Le lundi 21 mars 2005 � 22:28 +0100, [EMAIL PROTECTED] a �crit : [...] > > 2- charger les modules de suivi: > > #modprobe iptables_nat > > #modprobe ip_nat_irc > > #modprobe ip_nat_ftp > > Comme leur nom le sugg�re, ceux-ci sont plut�t les modules de NAT, et au > passage le premier s'appelle iptable_nat (sans "s", c'est le module de > _la_ table nat). Bien vu! > Les modules de suivi de connexion sont ip_conntrack, > ip_conntrack_ftp... Normalement les modules de base (ip_conntrack, > iptable_nat) sont charg�s automatiquement par les r�gles iptables (-m > state, -t nat) ou les modules sp�cifiques (ip_nat_ftp, ip_conntrack_ftp) > qui en ont besoin. > > > 3-D�finir les r�gles de fw idoines: > > #iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.2.0/24 -d \ > > 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT > > #iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d \ > > 192.168.2.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT > > Pourquoi surcharger les r�gles avec des conditions sur 0.0.0.0/0 qui > sont toujours remplies ? Mince, il me semblait avoir une raison; mais en y r�fl�chissant l�, �a me semble aussi inutile... > > > #iptables -t nat -A POSTROUTING -o eth1 -s 192.168.2.0/24 -j MASQUERADE > > Plut�t -o eth0, celle-ci �tant l'interface de sortie vers internet. > > Pour finir, je suis d'accord avec J.Pierre : il serait bien plus simple > de raccorder directement les deux machines sur le routeur au moyen d'un > switch si ce dernier n'a qu'un seul port LAN. Certes, mais la question du m�ssieu concernait le routage, et l'utilisation de deux cartes rezo sur une machine laisse penser qu'il veut autre chose qu'un switch?... Tout � fait d'accord sur le 'plus simple'. > > Une autre possibilit� � peu pr�s �quivalente serait de cr�er un pont > ethernet transparent entre les deux interface eth0 et eth1 de la > premi�re machine, ce qui transformerait celle-ci en switch � deux ports. > Cf. l'outil brctl du paquetage bridge-utils, et le Bridging HOWTO > (http://bridge.sourceforge.net/howto.html). Comme le switch, �a �vite de > mettre en place du routage IP et de la NAT. >
--
-----------------------------------------------------------------------
Ma cl� GPG est disponible sur http://www.keyserver.net
-----------------------------------------------------------------------
_____________________________________________________
| Prot�gez votre vie priv�e: |
\|||/ | - Signez/chiffrez vos messages. __|
q o - p | Respectez celle des autres: | /
__mn__\_^_/_nm__| - Masquez les destinataires de vos mailings |/
|__________________________________________________/
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
