Je sais qu'il y a eu maintes sujets, et avant de poster, j'ai recherché sur le net ! Et vu que plusieurs têtes pensantes valent mieux qu'une ...
 
Donc le problème est que je n'arrive a récupérer mes mails par pop a travers ma passerelle !
 
voici le script :
pour infos, $eth = LAN, $ppp = net
 

 
Si kekun a une idée ...

Oooooooohh, un fan des Musclés !!!
 
Sinon, pour ton pb, c'est bizarre, pisque normalement, si accepetes toute connexions vers l'exterieur de ton initiative (NEW, ESTABLISHED), ta demande pop doit en faire partie...
Sinon je suis desole mais je lis pas le netfilter couramment...

Mais bourdel, y a bien des dieux en iptables ici ! nan ?

 
iptables ca fait mal a la tete. Moi aussi faut que je configure mon firewall et j'arrette pas de repousser .
 
Bonne chance    

 
Merci !  
 
J'arrive pas à comprendre pourquoi il marche pas ce *ù$^*ù de script !

Autorise aussi le protocol udp pour le pop3, je crois qu'il l'utilise énormement, donc...
 
Une petite remarque, sinon : je trouve ta gestion du dns un peu maladroite. Si tu n'as que des postes qui doivent accèder au net (comme le fait penser ton script, ou alors c'est encore pire, il te manque une dmz).
 
Ainsi, tu prends le risque de te prendre quelques baffes sur ton dns.
Un petit moyen de le gérer plus "secure" :
 

 
DNS 1 et 2 sont ceux de ton FAI.
 
Vali vala.
 
Demain, il sera assez tôt pour d'autres remarques si nécessaire.
 
Le passant.
 
Edit : pas pu attendre demain
Et puis, je comprends pas trop pourquoi tu autorise le port 80 si tu passes par un proxy ???

Pour le DNS : là c'est ouvert de chez ouvert, je ne pense pas que tu souhaites que ton DNS puisse être accessible à toute la planète, il pourrait se viander méchamment, et puis si tout le monde laisse ouvert son DNS comme ça, ça peut faire mal !!!  
Je te laisse imaginer les possibilités pour des petits malins si par exemple tous les abonnés de ton FAI étaient dans le même cas.
 

 
Visiblement seul le port du proxy est autorisé pour les machines du réseau, c'est seulement du côté d'internet que le port 80 passe.
 
 

 
vi.
 
pour le dns, j'avais pas fait gaffe ! je te remercie je vais corriger cela !

 
j'ai autorisé le protocole udp pour le pop3, mais ca change ke dalle ! c'est pas possible, y a bien une erreur quelque part mais où ?

Essayes de lancer ton script en mode "débugage" ... rajoutes un -x à la ligne (la première du fichier normalement) où tu indiques quel interpréteur doit être choisi pour executer ton script ...

Pourquoi tu utilises pas à fond les capacités de fw STATEFUL qu'offre Netfilter  ? Ca te simplifierai la tache, crois moi ...

Question conne qui a rien a voir, mais vous faites quoi dans la vie pour connaitre tout ca sur IPTABLE ?
Moi je suis ingenieur et iptable je maitrise que dale (pourtant j'en ai deja fais un peu lors de mes etudes).

Ingénieur aussi, mais j'ai du me monter une passerelle à la main pour me rendre compte que c'était bien une incompatibilité modem-fai qui m'empèchait de surfer .
 
Et pis, c'est marrant   .
 
Et pis j'ai encore plein de lacunes   .
 
Le passant.

Pour ton problème de pop3, ne précise que les interfaces d'entrées, il a peut-être du mal la :
 

 
Pour ceux qui vient du LAN essaye avec ceci dans un premier temps :
 

 
Ne surtout pas oublier le smtp si tu veux envoyer des mails :
 

 
Si ça fonctionne, tu pourras durcir par la suite tes règles sur -i $eth.
Essaye toujours ce qui précède.
 
Le passant.

 
Ca ne marche toujours pas !

Ah !!!
 
J'arrive à la fin des solutions raisonnables à ma connaissance...
 
Essaye simplement comme ceci :
 

 
Histoire de voir si ça provient bien de tes règles iptables, ou si c'est autre chose.
 
Le passant.

 
Oui ca marche ! Par contre le fait de rajouter le port au forward fait que ca marche plus ! pourquoi ??

Bon, donc, c'est bien les règles qui foirent... Nous avons du mal les écrire (toi dans un premier temps et pis moi aussi our la suite).
 
Reste plus qu'a trouver la bonne solution, et puis si un vrai expert passait dans le coin... son aide serait la bienvenue .
 
Bon, on va effectuer un petit essai :
 
D'abord ceci :

 
Ensuite :

 
Inutile de préciser l'interface, l'ordre d'éxécution des règles impliquant que tout ce qui n'est pas local (donc passant par eth et donc en accept) est traité par le reste.
 
Si ça ne marche pas, essaye avec --sp àa la place de --dp, mais bon, j'y crois pas trop.
 
Le passant.

 
Toujours pareil, ca marche pas ! on dirait qu'il bloque sur le port !

Que ce soit --sp ou --dp ??? Rah !!! Pourtant ça devrait passer tranquillou.
 
Est-ce que pop3 et smtp sont bien les services 110 et 25 dans ton /etc/services ???
 
Sinon, je vois pas trop.
 
Le passant.

 
oui.
Au fait, merci de t'intéresser à mon problème

 
De rien, il m'intrigue énormément.
 
Chez moi, j'ai essayé ceci :
 

 
Et ça marche très bien, donc, comme c'est la même chose que je t'ai dit de faire plus haut... je vois pas.
 
On peut le traduire dans ton cas par :

 
Le passant.
 
Edit : en dport, ça ne marche pas du tout !!!!
j'ai essayé, et ça ne passe qu'en sport.

tu peux remettre ton script avec les modifs, stp, je vois plus trop ou on en est   .
 
Le passant.

et voila :
 
 

$minet et $petitgus sont deux machines dans ton LAN ?
 
Euh, si tu essaye de faire ton nat comme ceci :
 

 
Ca change quelque chose pour ton soucis de pop3 ?? ou pas ??
 
(je cherche l'invraissemblable ).
 
Eh, mais c'est peut-être tout ça, me semble que c'est pas la bonne manière de traduire tout ça... essaye .
 
Le passant.

Tiens, je crois que je viens de dire une connerie, mais essaye quand même, on sait jamais.
 
Le passant.

Bon, je dois m'absenter, donc à plus et bon courage..
 
Le passant.

ca change rien du tout

Tu as activé l'ipforwarding ??
 
un truc du genre :

 
J'ai po l'impression (si c'est tout ton script qui est la), le seul truc que je vois, c'est justement l'abscence de cette activation.
 
Sinon, il faut regarder sur ton noyau, pour savoir si il est correctement configuré.
 
Si ce n'est le cas, sélectionne toutes les options du noyau (histoire de n'en oublier aucune, et comme je ne connait pas le tiercé gagnant...).
 
Hormis ces bêtes oublis, je ne vois aucune raison pour que cela ne fonctionnne pas.
 
Le passant.
 
Edit : l'ip_forward semble ok dans ton premier scrip, donc je n'ai rien dit. Ne te reste plus qu'a regarder au niveau du noyau.
 
reEdit : Pour le noyau, c'est ok aussi, parce que si ça fonctionne sans préciser les ports...
Faut que je réfléchisse un peu plus avant d'écrire moi...
 
rereEdit : Je pense à autre chose, pour le DNS, tu peux n'autoriser que l'udp, les requètes dns n'utilisant que ce protocole (bien moins lourd que tcp).

Bon, pour éviter un autre édit :
 
J'ai pris le temps de tester toutes les solutions envisagés (même celle que toi tu proposais au tout début).
 
Et ça marche chez moi.
 
Donc, ça provient surrement de ta config, et la je ne vois pas du tout comment t'aider, je n'arrive plus à imaginer de solution.  
 
Une mauvaise compil de noyau, le non chargement des modules correct avant leur utilisation. Mais dans ce cas, la protestation du système devrait être bien plus virullente, et quand on a allégé la config de iptables, l'erreur aurait du percistée.
 
Bon, dernier recours, je vais copier tes règles et les balancer en entier chez moi, pour voir si rien ne m'aurait échappé.
 
Le passant.

Après vérification, et une légère modif pour correspondre à ce que j'ai, ton script fonctionne parfaitement.
 
Donc ça provient de quelque chose d'autre, et la, je sais po...
 
Voici le script que j'ai testé chez moi :

 
Aucun changement fondamental, comme tu le vois. Juste le proxy que je n'ai pas encore installé chez moi .
 
Ca me désole un peu de te laisser ainsi, mais je ne vois pas la solution.
Mais bon, ce n'est pas ton script, c'est déjà ça .
 
Le passant.

 
 
Super je te remercie encore de m'avoir aidé ! Je vais essayer de regarder dans le noyau ! je te tien au courant.

Pourquoi pas essayer avec ca :

 
et ca (à mettre juste après le masquerading) :

 
j'ai déjà essayer ! apparement c un probleme de config dans le noyau ! c'est pas normal que ca ne marche pas.

Tu as des messages d'erreur qui s'affichent ?  ( penses au - x)

 
j'ai aucun message d'erreur.

Tu as bien mis le -x comme option pour l'interpréteur en tête du script ? sans ca, ca n'affiche rien ...
Tu penses à charger (forcer le chargement on va dire) les modules correspondants si tu as un noyau modulaire ?

 
Oui j'ai bien mis -x, mais aucune erreur. Par contre, je viens de recomiler le kernel, et toujours pareil ca veut pas marcher. je comprends pas.

 
Tu as ton fichier de compil, tu peux le mettre ici s'il te plait ?
Et ta distribution, c'est quoi, avec quel kernel, etc ??
 
Le passant.

 
il s'appelle comment le fichier de compil ?