> > > Tu ne devrais pas mettre ta r�gle par d�faut pour FORWARD sur ACCEPT. > > > Tes derni�res r�gles n'ont pas de sens (PREROUTING et DNAT) > > Tu veux dire que si je met accept mes dernieres regles ne > servent a rien ? > > Je veux dire que mettre ACCEPT par d�faut n'est pas bon. Apr�s tout > l'option -g de nmap doit bien servir � quelque chose... > > Concernant le DNAT: > * lorsque tu te connectes en temps que _client_, il t'est attribu� un n� > de port sup � 1023 mais qui n'est pas d�termin� � l'avance (sauf applis > faites pour, nmap -g par exemple.). La table de connexion est l� pour > g�rer les correspondances. > > * tu voudras faire du dnat lorsque tu offres un service qui n'est pas > directement connect� au web, car le correspondant ne connait que la > passerelle. Le dnat est fait pour envoyer les paquets vers une machine > et un port donn� et pr�visible, qui n'est p� pas le port sur lequel > croit se connecter le correspondant d'ailleurs.. > > * dans le cas du ftp actif le client se comporte en serveur donc offre > un service mais sur un port qui n'est pas d�terminable. Difficile de > faire du dnat dans ce cas. D'o� l'utilit� de ip_nat_ftp > ok merci pour ce supplement d'information :)
Ce que je regrette c'est le manque de clairt� concernant ce genre de parametres :/ Impossible de trouver sur le net. Par contre des que j'ai eu cette commande google est redevenu mon amis :) Alex.
