Cette table devrait être utilisée seulement pour effectuer de la
traduction d'adresse réseau (NAT) sur différents
paquets. Autrement dit, elle ne devrait servir qu'à traduire le champ de
l'adresse source d'un paquet ou celui de l'adresse destination.
Précisons à nouveau que seul le premier paquet d'un flux rencontrera cette
chaîne. Ensuite, les autres paquets subiront automatiquement le même sort que
le premier. Voici les cibles actuelles capables d'accomplir ce genre de
choses :
DNAT
SNAT
MASQUERADE
REDIRECT
La cible DNAT est généralement utile dans le cas où vous
détenez une adresse IP publique et que vous désirez rediriger les accès vers
un pare-feu localisé sur un autre hôte (par exemple, dans une zone
démilitarisée ou DMZ). Concrètement, on change
l'adresse de destination du paquet avant de le router à nouveau vers l'hôte
désigné.
La cible SNAT est quant à elle employée pour changer
l'adresse de source des paquets. La plupart du temps, vous dissimulerez votre
réseau local ou votre DMZ, etc. Un très bon exemple
serait donné par un pare-feu pour lequel l'adresse externe est connue, mais
qui nécessite de substituer les adresses IP du réseau local avec celle du
pare-feu. Avec cette cible, le pare-feu effectuera automatiquement sur les
paquets du SNAT dans un sens et du
SNAT inverse dans l'autre, rendant possible les connexions
d'un réseau local sur Internet.
A titre d'exemple, si votre réseau utilise la famille d'adresses
192.168.0.0/masque_réseau, les paquets envoyés sur Internet ne reviendront
jamais, parce que l'IANA (institut de régulation des adresses) a considéré
ce réseau (avec d'autres) comme privé, et a restreint son usage à des
LANs isolés d'Internet.
La cible MASQUERADE s'utilise exactement de la même
façon que la cible SNAT, mais la cible
MASQUERADE demande un peu plus de ressources pour
s'exécuter. L'explication vient du fait que chaque fois qu'un paquet atteint
la cible MASQUERADE, il vérifie automatiquement
l'adresse IP à utiliser, au lieu de se comporter comme la cible
SNAT qui se réfère simplement à l'unique adresse IP
configurée. Par conséquent, la cible MASQUERADE permet de
faire fonctionner un système d'adressage IP dynamique sous
DHCP, que votre FAI devrait vous procurer pour des
connexions à Internet de type PPP,
PPPoE ou SLIP.
| Précédent | Niveau supérieur | Suivant |
| 6.2. La table Mangle | Sommaire | 6.4. La table Raw |
![[Linux France logo]](./../../images/lf-petit.png)
Vous êtes ici : 