Le dimanche 12 octobre 2003, alde a �crit...
bonjour,
> > Tu ne devrais pas mettre ta r�gle par d�faut pour FORWARD sur ACCEPT.
> > Tes derni�res r�gles n'ont pas de sens (PREROUTING et DNAT)
> Tu veux dire que si je met accept mes dernieres regles ne servent a rien ?
Je veux dire que mettre ACCEPT par d�faut n'est pas bon. Apr�s tout
l'option -g de nmap doit bien servir � quelque chose...
Concernant le DNAT:
* lorsque tu te connectes en temps que _client_, il t'est attribu� un n�
de port sup � 1023 mais qui n'est pas d�termin� � l'avance (sauf applis
faites pour, nmap -g par exemple.). La table de connexion est l� pour
g�rer les correspondances.
* tu voudras faire du dnat lorsque tu offres un service qui n'est pas
directement connect� au web, car le correspondant ne connait que la
passerelle. Le dnat est fait pour envoyer les paquets vers une machine
et un port donn� et pr�visible, qui n'est p� pas le port sur lequel
croit se connecter le correspondant d'ailleurs..
* dans le cas du ftp actif le client se comporte en serveur donc offre
un service mais sur un port qui n'est pas d�terminable. Difficile de
faire du dnat dans ce cas. D'o� l'utilit� de ip_nat_ftp
--
Jean-Michel
N'oubliez pas la faq: http://savannah.nongnu.org/download/debfr-faq/html
