Il faut �galement autoriser les state NEW....sinon aucune initiation de connexion TCP ne peut passer...
Le lundi 03 janvier 2005 � 14:10 +0100, arno a �crit : > j'ai lanc� cela : > iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination > 192.168.1.201:80 > iptables -t nat -A POSTROUTING -p tcp --sport 80 -j SNAT --to-source > 192.168.1.201 > iptables -A FORWARD -p tcp -m state --state ESTABLISHED -j ACCEPT > iptables -A FORWARD -p tcp -d 192.168.1.201 --syn --dport 80 -m > state --state NEW -j ACCEPT > iptables -P FORWARD DROP > > (d'ailleurs quand je fais un iptables -L -t filter, dans la table foward, je > ne vois qu'une regle, celle-ci : > ACCEPT tcp -- anywhere anywhere tcp > c'est normal ?????) > > > et le module ip_conntrack est bien charg�. > voici la reponse: > ip_conntrack 12684 2 (autoclean) [ipt_state iptable_nat]* > > et toujours rien ............... > > > > "Xavier" <[EMAIL PROTECTED]> a �crit dans le message de news: > [EMAIL PROTECTED] > > Xavier a �crit : > > > arno a �crit : > > > > > >> bonjour, > > >> > > >> je souhaiterais faire une redirection du port 80 (depuis > > >> 192.168.1.249) vers > > >> une autre machine (192.168.1.201) > > >> > > >> voici ma commande : > > >> iptables -t nat -A PREROUTING -p tcp --dport 80 -j > DNAT --to-destination > > >> 192.168.1.201:80 > > >> > > >> mais ce ne marche, j'ai fait de multiples tests, avec les options, etc > > >> ... > > >> mais rien !!! > > >> > > >> pouvez vous m'eclairer > > >> merci > > >> > > >> arno > > >> > > >> debian 3.0 noyau 2.4 > > >> > > >> > > > Assure toi que le module ip_conntrack est charg�, sinon netfilter ne > > > dr�e pas les r�gles implicites inverse. Si tu ne veux pas le charger, il > > > faut ajouter: > > > iptables -t nat -A POSTROUTING -p tcp --sport 80 -j SNAT --to-source > > > 192.168.1.201 > > > > > > @+ et bonne ann�e > > > Xavier > > en ajoutant bien s�r la r�gle d'autorisation comme indiqu� dans l'autre > fil: > > > > # Fonctionnement statefull g�n�ral (commun � toutes les r�gles) > > iptables -A FORWARD -p tcp -m state --state ESTABLISHED -j ACCEPT > > > > # R�gle sp�cifique au serveur web > > iptables -A FORWARD -p tcp -d 192.168.1.201 --syn --dport 80 -m state > > --state NEW -j ACCEPT > > > > # Politique par d�faut > > iptables -P FORWARD DROP > > > "pingouin osmolateur" <[EMAIL PROTECTED]> a �crit dans le message > de news: [EMAIL PROTECTED] > > --- arno <[EMAIL PROTECTED]> a �crit : > > > bonjour, > > > > > > je souhaiterais faire une redirection du port 80 > > > (depuis 192.168.1.249) vers > > > une autre machine (192.168.1.201) > > > > > > voici ma commande : > > > iptables -t nat -A PREROUTING -p tcp --dport 80 -j > > > DNAT --to-destination > > > 192.168.1.201:80 > > > > > > > Bonjour, > > Tout d'abord je ne suis pas un pro de Iptables mais > > j'utilise 2*2 lignes de commande iptables pour faire > > traverser les flux SSH et HTTPS de mon ipcop. > > Je ne les ai pas sous la main mais la 2 eme regle > > apr�s celle de nat c'est la regle FORWARD qui permet > > de transferer les paquets � travers le firewall. > > Je n'ai pas la synthaxe. > > Sinon tu dois avoir des logs ou en rajouter pour > > savoir ce qui se passe exactement. > > En esp�rant t'avoir aider > > AC > > > > > > > > > > > > > > D�couvrez le nouveau Yahoo! Mail : 250 Mo d'espace de stockage pour vos > mails ! > > Cr�ez votre Yahoo! Mail sur http://fr.mail.yahoo.com/ > > > > > > -- > > Pensez � lire la FAQ de la liste avant de poser une question : > > http://wiki.debian.net/?DebianFrench > > > > Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" > > > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > >
