Bonsoir,
Toujours dans le but de comprendre le fonctionnement de Netfilter/Iptables je cherche à savoir si ces 3 lignes sont cohérentes.
Mon But est d'essayer de faire du Nat avec changement de port sans utiliser le Masquerading
-Le but des 2 premières règles seraient d'autoriser en entrée ($Carte-Externe) l'arrivé de nos emails (--dport 25) qui sont pré-filtrés par notre fournisseurs d'accès ($IP-Smtp-Provider) en les Nattants (-t nat) et en les re-dirigeants vers un port différent (du 25 vers le 587) sur notre passerelle mail ($IP-Server-Mail-Passerelle) qui effectue un filtrage supplémentaire.
-Le but de la 3eme ligne serait d'autoriser les emails sortants sur notre serveur Mail Interne (il manque la règle de nat POSTROUTING qu'il faut que je fasse en sortie)
$IPTABLES -t nat -A PREROUTING -d $IP-Fixe-Externe-3 -s $IP-Smtp-Provider -p TCP --dport 25 --sport 1024:65535 -j DNAT --to-destination $IP-Server-Mail-Passerelle:587
$IPTABLES -t filter -A FORWARD -i $Carte-Externe -s $IP-Smtp-Provider -o $Carte-Interne -d $IP-Server-Mail-Passerelle -p TCP --dport 587 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -t filter –A FORWARD -i $Carte-Interne -s $IP-Server-Mail-Interne -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
Bonne soirée
Emmanuelt
# règles un peu touffues
Posté par Bernez . Évalué à 1.
Tes règles sont cohérentes mais inutilement chargées à mon avis. Le « --sport 1024:65535 » n'apporte pas grand chose. Le « -m state --state NEW,ESTABLISHED », quant à lui, correspond pour ainsi dire à tous les paquets. Enlever ces deux choses feraient gagner en lisibilité sans affecter la sécurité.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.