Bonjour à Tous,

Avant de commencer, merci de m’avoir accepté parmi vous…sachant aussi que je suis débutant, je compte sur votre indulgence

J’ai donc installé Etch sur ma machine qui je l’espère avec votre aide va ma permettre de partager ma connexion Internet dans un premier temps. J’ai bien suivi la formation “d’Alexis” quant au partage de connexion, mais j’avoue que pour le moment cela ne fonctionne pas. J’ai monté mon réseau où Eth0 est ma connexion Internet ppp et Eth1 via un Hub mon réseau local. Mon serveur est 192.168.0.1 et mes machines 192.168.0.X. Jusque là tout va bien

De mon serveur j’arrive à pinger ma ou mes clients, et vice versa…par contre, dès que d’un client je souhaite aller sur l’Internet, là rien ne se passe…Et je ne comprends pas pourquoi (à noter que ma connexion Internet de mon serveur fonctionne, j’ai pu faire quelques apt-get…).

Voilà mon fichier /etc/network/interfaces

/etc/network/interfaces

Fichier de configuration d’exemple des interfaces réseau

pour faire un serveur NAT

Formation Debian GNU/Linux par Alexis de Lattre

via.ecp.fr/~alexis/formation-linux/

Plus d’informations dans “man interfaces”

L’interface “loopback”

auto lo
iface lo inet loopback
# Démarrage et arrêt automatique des règles "iptables"
pre-up /etc/network/if-pre-up.d/iptables-start.sh
post-down /etc/network/if-post-down.d/iptables-stop.sh
# Activation de la fonction de forwarding IP au niveau du noyau
up echo “1” > /proc/sys/net/ipv4/ip_forward

PPPoE connection

auto provider
iface provider inet ppp
pre-up /sbin/ifconfig eth0 up
provider provider

L’interface “eth1” connectée au réseau local (IP privée fixe)

auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255

et mon fichier iptables-start

#!/bin/sh

/etc/network/if-pre-up.d/iptables-start.sh

Script qui démarre les règles de filtrage “iptables”

Formation Debian GNU/Linux par Alexis de Lattre

via.ecp.fr/~alexis/formation-linux/

REMISE à ZERO des règles de filtrage

iptables -F
iptables -t nat -F

DEBUT des “politiques par défaut”

Je veux que les connexions entrantes soient bloquées par défaut

iptables -P INPUT DROP

Je veux que les connexions destinées à être forwardées

soient acceptées par défaut

iptables -P FORWARD ACCEPT

Je veux que les connexions sortantes soient acceptées par défaut

iptables -P OUTPUT ACCEPT

FIN des “politiques par défaut”

DEBUT des règles de filtrage

Pas de filtrage sur l’interface de “loopback”

iptables -A INPUT -i lo -j ACCEPT

J’accepte le protocole ICMP (i.e. le “ping”)

iptables -A INPUT -p icmp -j ACCEPT

J’accepte le protocole IGMP (pour le multicast)

iptables -A INPUT -p igmp -j ACCEPT

J’accepte les packets entrants relatifs à des connexions déjà établies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Décommentez les deux lignes suivantes pour que le serveur FTP éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

Décommentez la ligne suivante pour que le serveur SSH éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Décommentez la ligne suivante pour que le serveur de mail éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 25 -j ACCEPT

Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

Décommentez la ligne suivante pour que le serveur Web éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Décommentez la ligne suivante pour que le serveur CUPS éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 631 -j ACCEPT

Décommentez les deux lignes suivantes pour que le serveur Samba éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT

Décommentez la ligne suivante pour que des clients puissent se connecter

à l’ordinateur par XDMCP)

#iptables -A INPUT -p udp --dport 177 -j ACCEPT

Décommentez la ligne suivante pour que l’odinateur puisse se connecter

par XDMCP à une machine distante)

#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT

Décommentez la ligne suivante pour que le serveur CVS éventuel

soit joignable de l’extérieur via le mécanisme de “pserver”

(si les utilisateurs accèdent au serveur CVS exclusivement via SSH,

seule la ligne concernant le serveur SSH doit être décommentée)

#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT

Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN

(ce sont des flux UDP entrants sur le port 1234)

#iptables -A INPUT -p udp --dport 1234 -j ACCEPT

Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP

(ce sont des annonces de session multicast)

#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT

Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting

#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

La règle par défaut pour la chaine INPUT devient “REJECT”

(il n’est pas possible de mettre REJECT comme politique par défaut)

iptables -A INPUT -j REJECT

FIN des règles de filtrage

DEBUT des règles pour le partage de connexion (i.e. le NAT)

Décommentez la ligne suivante pour que le système fasse office de

“serveur NAT” et remplaçez “eth0” par le nom de l’interface connectée

à Internet

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

FIN des règles pour le partage de connexion (i.e. le NAT)

DEBUT des règles de “port forwarding”

Décommentez la ligne suivante pour que les requêtes TCP reçues sur le

port 80 soient forwardées à la machine dont l’IP est 192.168.0.3 sur

son port 80 (la réponse à la requête sera forwardée au client)

#iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80

FIN des règles de “port forwarding”

J’avoue que si vous avez un avis sur la question, je pourrai enfin sortir de plussieurs jours de recherche infructueux

Merci d’avance.
@+++

Bonjour,
Comment as-tu configuré tes postes clients?

Quelle passerelle as-tu mis? (192.168.0.1)

Alexandre

Je suis étonné par un point :

La règle rejetant tout arrive avant le masquerading … normal ?
(je pose la question parce que je suis surpris … perso, je l’aurais créé en dernier !)

++

Bonjour à Tous,

Merci pour vos réponses…

En ce qui concerne mes règles iptables, j’ai pris le fichier de la formation d’Alexis, donc j’espère que de ce point de vue tout va bien (même si je n’arrive toujours pas à faire fonctionner mon partage de connexion).

J’ai configuré mes postes clients comme indiqué dans la formation d’Alexis, disponible ICI
En fait, j’ai suivi exactement ce document.

Un petit coup de main pour m’aider à résoudre mon problème

@++

Bonjour.
Deux conseils:

• abandonnes cette insuportable doc d’ADL qui nous améne tant de gens dans le caca, elle est bonne pour comprendre, pas pour appliquer. Prends un autre tuto.
• mets en forme tes extraits de fichier avec les boutons quote ou code, parceque sans, c’est difficilement lisible.

Ensuite, est ce que tu pinge bien l’adresse externe de ton serveur depuis un client lan ?
Est ce que depuis un client tu pinge bien 217.146.186.221 ?
Si c’est le cas, comment es tu configuré sur tes clients en terme de serveur dns (et pas de renvoi vers le tuto d’ADL, STP merci, je me refuse à y mettre le nez) ?

Bonjour,

Merci pour les informations et les conseils. J’ai trouvé un autre Tuto qui parle de la question, j’imagine basé sur la formation d’Alexis. Je mets le lien (ICI) au cas où ça pourrait nous aider (j’ai noté sur ce Tuto que l’extension des fichiers était différente, sur ce nouveau Tuto j’ai un .sh alors que sur la formation non. Je vous laisse me dire si ça a son importance )

Comme demandé, à la fin de ce post je vais mettre en forme les fichiers que j’utilise pour plus de clarté.

Pour répondre aux questions, de mon client je ping bien mon serveur qui est en 192.168.0.1 et vice versa. Je ne sais pas répondre quant à un ping de 217.146.186.221, je n’ai pas la machine sous la main. Je fais ça dès que possible et je vous tiens informé.
En ce qui concerne mes postes clients, j’ai configuré les DNS avec le DNS de mon prestataire Internet.

Voilà…merci de votre aide à venir.

Mes fichiers :

/etc/network/interfaces

[quote]# /etc/network/interfaces

Fichier de configuration d’exemple des interfaces réseau

pour faire un serveur NAT

Formation Debian GNU/Linux par Alexis de Lattre

via.ecp.fr/~alexis/formation-linux/

Plus d’informations dans “man interfaces”

L’interface “loopback”

auto lo
iface lo inet loopback

Démarrage et arrêt automatique des règles “iptables”

pre-up /etc/network/if-pre-up.d/iptables-start.sh
post-down /etc/network/if-post-down.d/iptables-stop.sh

Activation de la fonction de forwarding IP au niveau du noyau

up echo “1” > /proc/sys/net/ipv4/ip_forward

PPPoE connection

auto provider
iface provider inet ppp
pre-up /sbin/ifconfig eth0 up
provider provider

L’interface “eth1” connectée au réseau local (IP privée fixe)

auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
broadcast 192.168.0.255 [/quote]

et mon fichier iptables-start

[quote]#!/bin/sh

/etc/network/if-pre-up.d/iptables-start.sh

Script qui démarre les règles de filtrage “iptables”

Formation Debian GNU/Linux par Alexis de Lattre

via.ecp.fr/~alexis/formation-linux/

REMISE à ZERO des règles de filtrage

iptables -F
iptables -t nat -F

DEBUT des “politiques par défaut”

Je veux que les connexions entrantes soient bloquées par défaut

iptables -P INPUT DROP

Je veux que les connexions destinées à être forwardées

soient acceptées par défaut

iptables -P FORWARD ACCEPT

Je veux que les connexions sortantes soient acceptées par défaut

iptables -P OUTPUT ACCEPT

FIN des “politiques par défaut”

DEBUT des règles de filtrage

Pas de filtrage sur l’interface de “loopback”

iptables -A INPUT -i lo -j ACCEPT

J’accepte le protocole ICMP (i.e. le “ping”)

iptables -A INPUT -p icmp -j ACCEPT

J’accepte le protocole IGMP (pour le multicast)

iptables -A INPUT -p igmp -j ACCEPT

J’accepte les packets entrants relatifs à des connexions déjà établies

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Décommentez les deux lignes suivantes pour que le serveur FTP éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -j ACCEPT

Décommentez la ligne suivante pour que le serveur SSH éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Décommentez la ligne suivante pour que le serveur de mail éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 25 -j ACCEPT

Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT

Décommentez la ligne suivante pour que le serveur Web éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Décommentez la ligne suivante pour que le serveur CUPS éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 631 -j ACCEPT

Décommentez les deux lignes suivantes pour que le serveur Samba éventuel

soit joignable de l’extérieur

#iptables -A INPUT -p tcp --dport 139 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -j ACCEPT

Décommentez la ligne suivante pour que des clients puissent se connecter

à l’ordinateur par XDMCP)

#iptables -A INPUT -p udp --dport 177 -j ACCEPT

Décommentez la ligne suivante pour que l’odinateur puisse se connecter

par XDMCP à une machine distante)

#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT

Décommentez la ligne suivante pour que le serveur CVS éventuel

soit joignable de l’extérieur via le mécanisme de “pserver”

(si les utilisateurs accèdent au serveur CVS exclusivement via SSH,

seule la ligne concernant le serveur SSH doit être décommentée)

#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT

Décommentez la ligne suivante pour pouvoir reçevoir des flux VideoLAN

(ce sont des flux UDP entrants sur le port 1234)

#iptables -A INPUT -p udp --dport 1234 -j ACCEPT

Décommentez la ligne suivante pour pouvoir reçevoir des annonces SAP

(ce sont des annonces de session multicast)

#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT

Décommentez les 3 lignes suivantes pour pouvoir utiliser GnomeMeeting

#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT

La règle par défaut pour la chaine INPUT devient “REJECT”

(il n’est pas possible de mettre REJECT comme politique par défaut)

iptables -A INPUT -j REJECT

FIN des règles de filtrage

DEBUT des règles pour le partage de connexion (i.e. le NAT)

Décommentez la ligne suivante pour que le système fasse office de

“serveur NAT” et remplaçez “eth0” par le nom de l’interface connectée

à Internet

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

FIN des règles pour le partage de connexion (i.e. le NAT)

DEBUT des règles de “port forwarding”

Décommentez la ligne suivante pour que les requêtes TCP reçues sur le

port 80 soient forwardées à la machine dont l’IP est 192.168.0.3 sur

son port 80 (la réponse à la requête sera forwardée au client)

#iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:80

FIN des règles de “port forwarding” [/quote]

[quote=“Dolmen”]Bonjour,[/quote]re[quote=“Dolmen”]Merci pour les informations et les conseils.[/quote]de rien[quote=“Dolmen”] J’ai trouvé un autre Tuto qui parle de la question, j’imagine basé sur la formation d’Alexis. Je mets le lien (ICI) au cas où ça pourrait nous aider (j’ai noté sur ce Tuto que l’extension des fichiers était différente, sur ce nouveau Tuto j’ai un .sh alors que sur la formation non. Je vous laisse me dire si ça a son importance )[/quote]Aucune. Sous linux, le suffixe n’a pas d’importance sauf pour l’utilisateur.[quote=“Dolmen”]Comme demandé, à la fin de ce post je vais mettre en forme les fichiers que j’utilise pour plus de clarté.[/quote] C’est surtout pour que tu aies plus de réponses des gens qui survolent.[quote=“Dolmen”]Pour répondre aux questions, de mon client je ping bien mon serveur qui est en 192.168.0.1 et vice versa. [/quote]Non. J’ai parlé de l’autre adresse de ton serveur, celle coté internet, celle d’eth0 . C’est pour savoir déjà si les paquets passent bien d’un coté à l’autre de ton serveur.[quote=“Dolmen”]Je ne sais pas répondre quant à un ping de 217.146.186.221, je n’ai pas la machine sous la main. Je fais ça dès que possible et je vous tiens informé.
En ce qui concerne mes postes clients, j’ai configuré les DNS avec le DNS de mon prestataire Internet.[/quote]Bon, ben 217.146.186.221, c’est l’adresse de yahoo.fr
En fait, si tu pinge l’adresse, mais pas le nom, c’est que ton problême vient de la resolution des noms, pas du reseau en soi. quote=“Dolmen”[/quote]Bon, ben rien ne me choque dans les fichiers.
Pourrais tu donner le resultat de iptables-save , s’il te plait ?

Re,

Merci pour les réponses rapides…c’est cool

La précision que je peux apporter immédiatement est que côté serveur la connexion Internet fonctionne puisque j’ai installé des packages avec apt-get…le tout sans problème.

Je fais le test rapidement pour pinger 217.146.186.221, j’espère que ça me fera progresser, j’ai un peu de mal je l’avoue. Je fais aussi iptables-save…

@+++

Salut Mister Dolmen !!!

Question à tout hasard, as-tu activé le Forward sur ta Debian ?
Soit :

Re,

Bon voilà le résultat de iptables-save :

[quote]# Generated by iptables-save v1.3.6 on Mon May 21 15:20:57 2007
*nat
REROUTING ACCEPT [299:25553]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
[0:0] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT

Completed on Mon May 21 15:20:57 2007

Generated by iptables-save v1.3.6 on Mon May 21 15:20:57 2007

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [156:14496]
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -p icmp -j ACCEPT
[0:0] -A INPUT -p igmp -j ACCEPT
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[103:12380] -A INPUT -j REJECT --reject-with icmp-port-unreachable
[0:0] -A FORWARD -o eth0 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT

Completed on Mon May 21 15:20:57 2007[/quote]

Le ping de 217.146.186.221 ne passe pas à partir de mon ordinateur client (windows XP) alors que je n’ai pas de problème à partir du serveur sous Debian.

Badaboumpanpan, le Forward est activé dans mon fichier # /etc/network/interfaces (voir mes posts précédent)…y vois-tu une erreur??

Merci.
@+++

[quote=“Dolmen”]Badaboumpanpan, le Forward est activé dans mon fichier # /etc/network/interfaces (voir mes posts précédent)…y vois-tu une erreur??
[/quote]

Non, c’est bon, c’est juste que je ne l’avais pas vu.

Essaye déjà avec ça :

[code]#!/bin/sh

/etc/network/if-pre-up.d/iptables-start.sh

Script qui démarre les règles de filtrage “iptables”

Formation Debian GNU/Linux par Alexis de Lattre

http://www.via.ecp.fr/~alexis/formation-linux/

REMISE à ZERO des règles de filtrage

iptables -F
iptables -t nat -F

DEBUT des “politiques par défaut”

iptables -P INPUT DROP
#iptables -P FORWARD ACCEPT
#iptables -P OUTPUT ACCEPT

FIN des “politiques par défaut”

DEBUT des règles de filtrage

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT
iptables -A INPUT -p igmp -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#iptables -A INPUT -j REJECT

FIN des règles de filtrage

DEBUT des règles pour le partage de connexion (i.e. le NAT)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

FIN des règles pour le partage de connexion (i.e. le NAT)

[/code]

Les politiques par défaut sont déjà à ACCEPT, donc rien ne sert de faire du redondant.

Ensuite, je voudrais bien savoir si ça passe en virant le REJECT ?

Autre question, ton FAI te donne une IP fixe ou non (si tu ne sais pas quel est ton FAI) ?

toujours rien qui cloche…
Verifies que le forwarding est vraiment activé:
que donne cat /proc/sys/net/ipv4/ip_forward ?
tu as bien un ‘1’ ?

[quote=“mattotop”]Verifies que le forwarding est vraiment activé:
que donne cat /proc/sys/net/ipv4/ip_forward ?
tu as bien un ‘1’ ?[/quote]

Oui, effectivement.

Je suis c…
Tu as bien spécifié 192.168.0.1 comme gateway sur tes clients ?

Re,

J’ai bien spécifié cela comme passerelle sur mes postes clients.

[quote]toujours rien qui cloche…
Verifies que le forwarding est vraiment activé:
que donne cat /proc/sys/net/ipv4/ip_forward ?
tu as bien un ‘1’ ?[/quote]
Je vérifie ça ce soir et vous tiens au courant.

Je vais aussi essayer avec les infos iptables-start de Badaboumpanpan…la suite ce soir.

[quote]
Ensuite, je voudrais bien savoir si ça passe en virant le REJECT ?[/quote]
Il me faut un peu plus de précisions, j’avoue ne pas comprendre ça…désolé

[quote]
Autre question, ton FAI te donne une IP fixe ou non (si tu ne sais pas quel est ton FAI) ?[/quote]
Mon FAI est Orange (Wanadoo) et je ne suis pas en IP fixe.

D’autres options ??
@+++

[quote=“Dolmen”]
Il me faut un peu plus de précisions, j’avoue ne pas comprendre ça…désolé[/quote]
Je ne suis pas sur…

Mais disons que tu “DROP” déjà tout en INPUT.
Ensuite, tu libères qq ports INPUT en “ACCEPT”.

Du coup, je ne vois pas trop l’intérêt du “REJECT”…

C’était juste pour savoir si le MASQUERADE était justifié…

En tout cas, je pencherai plus sur ma première idée pour le forward.

Re,

Je fais cat /proc/sys/net/ipv4/ip_forward ce soir…on verra si c’est ça. En tout cas, il faut que je me sorte de ce problème, je suis coincé pour la suite

@+++ et Merci pour le support.

quote="Badaboumpanpan"
Du coup, je ne vois pas trop l’intérêt du “REJECT”…[/quote]Le DROP ne renvoie rien, le REJECT de Dolmen renvoie une info “port fermé” quote="Badaboumpanpan"
C’était juste pour savoir si le MASQUERADE était justifié…
(…)[/quote]Mais ça n’a rien à voir ! que tu aies ou non une ip fixe, il te faut faire du masq, sauf si tu as une adresse publique à fournir à chaque client de ton lan.

Oui, mais quel est l’intérêt ? Ne vaut-il pas mieux rester invisible ? Avec le DROP, les paquets ne reviennent pas, non ?

Non, ça n’a rien à voir avec le problème de Dolmen.

Oui, pcq si ton FAI te fournit une IP fixe il vaut mieux utiliser :

Pour éviter que le MASQUERADE soit utilisé pour rien… non ?

Justement l’intérêt est de dire explicitement qu’on refuse toute autre connexion que celle acceptée, donc de stopper explicitement tout entrée - résultat, il sera difficile de faire accepter toute autre connexion.

Ensuite, l’intérêt ? en lieu et place du DROP ?
Justement, les RFC, si je ne me trompe pas, disent que quand un serveur n’accepte pas une connexion, il se doit d’être poli et de dire qu’il la refuse.
DROPper en lieu et place de REJE©Ter peut signifie que l’on a quelque chose a caché.

Quant au MASQUERADE, c’est la solution de facilité - qui dit facilité, dit qu’il existe une autre méthode. LE NAT : mais là faut maîtriser le concept, et cela peut être plus galère.
Intéressant pour cibler précisèment juste certaines redirections vers ip:port.
Autrement, si trop de redirections, ou pas nécessité de gèrer finement, MASQUERADE répond à ce besoin.

Voili, voilou, je me trompe peut-être !
++