Drop en nat postrouting [Résolu]

Ahmed.S · 13/11/2012, 09h46

Bonjour,

Je suis nouveau dans la configuration en utilisant iptables,
Je dois porter la commande suivante avec une nouvelle version d'iptables,
Pourriez vous svp me dire qu'elle commande fera le même comportement :

Cette commade fonctionnait avec des versions anciennes d'iptables, mais avec la version que j'utilise (iptables v1.4.12) n'est plus opérationnelle,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
$ iptables -t nat -P POSTROUTING DROP
iptables v1.4.12: 
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.
Try `iptables -h' or 'iptables --help' for more information.

Merci,

IP_Steph · 13/11/2012, 13h55

Citation:

Cette commade fonctionnait avec des versions anciennes d'iptables

La vraie question est : à quoi cette règle pouvait-elle bien servir ?

Peut-être qu'on comprendrait mieux si tu donnais toutes les règles configurées dans tes iptables...

Steph

Ahmed.S · 13/11/2012, 15h44

Voici les régles iptabes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
iptables -t nat -A POSTROUTING -j MASQUERADE

Merci

IP_Steph · 13/11/2012, 20h32

Ben, à mon avis, tu peux virer la règle

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -P POSTROUTING DROP

elle ne te sera d'aucune utilité. La version précédente d'iptables devait dater parce que ça fait un bout de temps que la table NAT ne droppe plus les paquets...

D'autre part, histoire de commencer à maîtriser la table NAT, ce serait pas mal non plus de préciser l'interface de sortie sur laquelle tu fais le MASQUERADE. Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A POSTROUTING -o eth0 j MASQUERADE

tu rendras tes iptables un peu plus lisibles.

Enfin, il faudrait t'interroger sur ce que tu voudrais filtrer/contrôler parce que là, tu es en mode passoire (bon, ensuite, tout dépend de ce qu'il y a autour de cette machine, il y a peut-être un ou des firewalls, je ne sais pas).

Steph

Ahmed.S · 14/11/2012, 08h46

Merci pour vos conseils,
Bonne journée à vous.

13/11/2012, 20h32	#4
IP_Steph Modérateur Steph Architecte réseau Inscription : février 2012 Messages : 1 282 Détails du profil Informations personnelles : Nom : Steph Localisation : France Informations professionnelles : Activité : Architecte réseau Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : février 2012 Messages : 1 282 Points : 2 716 Points : 2 716	Ben, à mon avis, tu peux virer la règle Code : Sélectionner tout - Visualiser dans une fenêtre à part iptables -t nat -P POSTROUTING DROP elle ne te sera d'aucune utilité. La version précédente d'iptables devait dater parce que ça fait un bout de temps que la table NAT ne droppe plus les paquets... D'autre part, histoire de commencer à maîtriser la table NAT, ce serait pas mal non plus de préciser l'interface de sortie sur laquelle tu fais le MASQUERADE. Par exemple : Code : Sélectionner tout - Visualiser dans une fenêtre à part iptables -t nat -A POSTROUTING -o eth0 j MASQUERADE tu rendras tes iptables un peu plus lisibles. Enfin, il faudrait t'interroger sur ce que tu voudrais filtrer/contrôler parce que là, tu es en mode passoire (bon, ensuite, tout dépend de ce qu'il y a autour de cette machine, il y a peut-être un ou des firewalls, je ne sais pas). Steph __________________ "#define QUESTION ((bb) \|\| !(bb))" - Shakespeare
	00

14/11/2012, 08h46	#5
Ahmed.S Invité de passage Inscription : juillet 2007 Messages : 6 Détails du profil Informations forums : Inscription : juillet 2007 Messages : 6 Points : 2 Points : 2	Merci pour vos conseils, Bonne journée à vous.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email