Bonsoir, je prends le fil en cours.
Le Mon Oct 18 2004 à 11:45:40AM +0200, arnaud dit : > je re-explique mon prob. > j'ai 1 serveur exchange dans un lan. > j'ai un relais postfix dans une dmz > > je voudrais que mes utilisateurs interrogent leurs compte pop depuis le net. > exchange n'est pas accessible depuis le net mais le relais oui. > donc j'ai un tunnel ssh qui redirige 127.0.0.1:110 du relais vers ip:110 du > exchange. Tu peux faire du NAT depuis localhost avec un module spécifique du noyau (je sais plus lequel). Mais comme précisé par d'autres : iptables -t nat -I PREROUTING -s tonipquivientdunet \ -p tcp --sport 110 -j DNAT ip_exchange:110 devrait faire ce que tu veux. Les clients interrogent le postfix en 110 et hop ! Notes que si tu as un firewall entre postfix et le net tu dois appliquer la même règle sur le firewall vers le postfix. De plus il faudra surement mettre une règle en FORWARD dans l'autre sens (à confirmer je suis un peu trop fatigué pour y réfléchi ;-) Pour le pourquoi : les règles de contrôle iptables s'effectuent dans l'ordre suivant mangle -> nat:PREROUTING -> filter -> nat -> mangle Donc avec un DNAT tu interceptes ton paquet, tu lui changes son adresse de destination (Destination NAT) et il va voir ailleurs si il y est. Tu vois mangle avant, si tu travailles avec gaffe aux effets de bord. > maintenant mon souci est permettre à eth0 de faire le lien avec lo. abandonnes localhost, c'est pas fait pour communiquer avec l'extérieur de la machine. > soit ouvrir ssh à eth0 ??? > soit faire un redirection avec iptables. cf plus haut > voila vous savez tout !!!! hum ... [...] Je ne peux que te conseiller de bosser iptables avant de faire des trucs tricky avec. LinuxMag HS le firewall, votre meilleur ennemi 1/2 est pas mal. Sinon la page de netfilter est très bien. -- David Dumortier [EMAIL PROTECTED] PS : on est pas vendredi pourtant ;-)
