J'aurais besoin d'aide pour savoir comment configurer correctement iptables pour qu'un client VNC puisse se connecter à mon ordinateur "host" qui se trouve sur mon réseau local derrière un partage de connexion à Internet fait avec iptables en nat/masquerade.

Ordi VNC client <---> Linux avec iptables/NAT <--> serveur VNC sur 192.168.0.x

J'ai essayé une règle comme ceci:

iptables -A FORWARD -i eth1 -p tcp -d 192.168.0.50 --dport 5900 -j ACCEPT

mais ça ne marche pas...

NOTE:

eth1 est l'interface sur le côté Internet

eth0 est l'interface sur le côté réseau local

192.168.0.50 est l'adresse IP de mon ordi avec VNC server

Modifié le 14 juillet 200520 a par ggbce

En fouillant un peu plus j'ai trouvé ceci:

iptables -A PREROUTING -t nat -p tcp -d xxx.xxx.xxx.xxx --dport 5900 -j DNAT --to 192.168.0.50:5900

iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

NOTE: xxx.xxx.xxx.xxx est l'adresse IP de eth1 (du côté Internet)

...et ça marche à merveille !!!

Sauf que je ne comprends pas trop l'affaire.

Pourquoi faut-il que je fasse une table nat en destination sur mon adresse IP public qui est envoyé (--to) vers mon adresse IP local et qu'en plus je dois configurer un forward de l'extérieur vers l'intérieur du port 5900 sans spécifier la destination... et ajouter ces états (state)? c'est bizarre.

Si quelqu'un peut m'expliquer le principe ça serait plus clair