<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  </head>
  <body>
    <p>Hopla les admins,</p>
    <p>Fraichement passé de iptables à nftables sur un tas de debian
      stable (je suis en retard pour la migration -> nftables), j'en
      ai une seule qui fait passerelle et que je viens juste de migrer.<br>
    </p>
    <p>Je fais mes règles etc et là le drame, les machines NATtées
      derrière la passerelle ne peuvent pas sortir, et les dnat de ports
      de l'extérieur vers le LAN ne passent pas non plus.</p>
    <p>Ca ne semble pas être les règles nft, elles semblent raisonnables
      même si mon expérience en nftables est limitée.</p>
    <p>Je regarde les autres pistes qui bloqueraient l'ip forwarding et
      pourtant tout me semble bon :</p>
    <ul>
      <li>/proc/sys/net/ipv4/ip_forward qui vaut 1</li>
      <li>net.ipv4.ip_forward=1 dans /etc/sysctl.conf + sysctl -p
        /etc/sysctl.conf<br>
      </li>
      <li>si c'est systemd qui fait suer, j'ai tenté comme vu dans des
        docs un fichier /etc/systemd/netword/eth1.network (eth1 étant
        mon lan, eth0 mon l'interface publique) et contenant</li>
      <ul>
        <li>[Match]<br>
          Name=eth1<br>
          <br>
          [Network]<br>
          IPForward=ipv4   # j'ai tenté yes car pas sur de savoir si  ça
          a évolué de "ipv4" en "yes"<br>
        </li>
      </ul>
    </ul>
    <p>Une autre idée, un retour d'expérience ? Les manips ci-dessus
      sont tout ce que je trouve de solutions temporaires ou
      définitives, en théorie, pour activer le forwarding.</p>
    <p>Détail : avant j'étais en iptables mais géré par shorewall ;
      depuis j'ai viré le pkg shorewall, iptables aussi et rebooté au
      cas où il traine un truc moisi.<br>
    </p>
    <p>Je fais des tcpdump de ports qui doivent être forwardé sur mon
      LAN, je vois bien des demandes entrer puis rien qui traverse.<br>
    </p>
    <p>thx<br>
    </p>
    <pre class="moz-signature" cols="72">-- 
Jacques</pre>
  </body>
</html>