Le 18/06/2014 22:26, Olivier a écrit :
> Bonjour,
>
> J'ai un réseau dont le routeur principal est une machine sous Wheezy.
>
> Ce routeur effectue du NAT au profit d'utilisateurs d'un réseau WiFi.
> Le NAT est implémenté par une règle IPtables du type:
> iptables -t nat -A POSTROUTING -o ${WAN_IF} -j SNAT --to-source ${WAN_IP}
>
>
> J'observe dans les logs une multitude de lignes comme:
>
> Jun 18 16:19:57 foo kernel: [4670104.045210] Denied TCP: IN=eth0 OUT=
> MAC=c0:3f:d5:60:36:37:40:5a:9b:bb:60:a1:08:00 SRC=157.55.235.149
> DST=192.168.1.243 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=55546 DF
> PROTO=TCP SPT=40001 DPT=51296 WINDOW=35 RES=0x00 ACK FIN URGP=0
>
> Les adresses MAC visibles sont bien celles de ma destination et du
> routeur source.
>
>
> J'interprète ces lignes de la façon suivante:
>
> - un utilisateur du WiFi émet une requête vers Internet,
>
> - l'IP source de la requête est modifiée par mon routeur sous Wheezy
> qui enregistre au passage la correspondance dans une table avant
> d'envoyer la requête modifiée au modem-routeur du lien ADSL (très chargé)
>
> - si la réponse en provenance d'Internet est trop tardive (ou pour une
> autre raison à identifier) alors IP tables ne retrouve l'entrée idoine
> dans sa table de correspondance et écarte la réponse
>
>
> Comment valider ou invalider ma théorie ?
>
> Comment visualiser l'état des tables de NAT ?
>
> Est-il possible-souhaitable d'augmenter la durée de rétention des
> correspondance du NAT avec iptables ?
>
> Slts
>Bonsoir, Je pense qu'avec le paquet netstat-nat, tu dois pouvoir trouver ton bonheur : aptitude show netstat-nat Paquet : netstat-nat État: non installé Version : 1.4.10-3 Priorité : optionnel Section : net Responsable : Gustavo Paniagua dos Santos <[email protected]> Architecture : amd64 Taille décompressée : 28,7 k Dépend: libc6 (>= 2.14) Est en conflit: netstat-nat Description : tool that display NAT connections Netstat-nat is a program that displays Network Address Translations (NAT) connections, managed by netfilter/iptables acting as firewall. NAT rules are stored in memory. However, the program reads its information from '/proc/net/ip_conntrack', which is the temporary conntrack-storage of netfilter. Site : http://www.tweegy.nl/projects/netstat-nat/ Étiquettes: admin::monitoring, implemented-in::c, interface::commandline, network::firewall, role::program, scope::utility, security::firewall, use::monitor -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: https://lists.debian.org/[email protected]
