Normallement, il faut utiliser --to-source m.o.n.ip. Le problème c'est que ce n'est pas possible si ton IP de sortie n'est pas fixe (tu ne la connais pas à l'avance). Il faut donc utiliser MASQUERADE et l'adresse IP utilisée pour le NAT sera automatiquement l'adresse IP de sortie.
Mais lorque tu utilises MASQUERADE, netfilter l'interprète comme quoi ton IP n'est pas fixe, en consequence lorsque l'interface passe en down, tous les contextes de connexions sont effacés (en effet, lorsque l'interface passe en down, l'adresse IP de sortie va certainement changer et les contextes en cours n'ont alors plus aucun sens).
Voila aussi pourquoi, il ne faut pas utiliser MASQUERADE lorsque ton IP est fixe car dans ce cas là, si l'interface passe down, il vaut mieux garder les contextes de connexions car on peut alors eviter qu'elles ne soient coupées.
Si je n'ai pas été très clair, ou que tu n'as pas bien compris, tout cela se résume en:
Il faut utiliser --to-source en cas d'IP de sortie fixe et MASQUERADE en cas d'IP se sortie dynamique
# C'est assez simple
Posté par Pascal . En réponse au message Une question sur NAT. Évalué à 3.
Normallement, il faut utiliser --to-source m.o.n.ip. Le problème c'est que ce n'est pas possible si ton IP de sortie n'est pas fixe (tu ne la connais pas à l'avance). Il faut donc utiliser MASQUERADE et l'adresse IP utilisée pour le NAT sera automatiquement l'adresse IP de sortie.
Mais lorque tu utilises MASQUERADE, netfilter l'interprète comme quoi ton IP n'est pas fixe, en consequence lorsque l'interface passe en down, tous les contextes de connexions sont effacés (en effet, lorsque l'interface passe en down, l'adresse IP de sortie va certainement changer et les contextes en cours n'ont alors plus aucun sens).
Voila aussi pourquoi, il ne faut pas utiliser MASQUERADE lorsque ton IP est fixe car dans ce cas là, si l'interface passe down, il vaut mieux garder les contextes de connexions car on peut alors eviter qu'elles ne soient coupées.
Si je n'ai pas été très clair, ou que tu n'as pas bien compris, tout cela se résume en:
Il faut utiliser --to-source en cas d'IP de sortie fixe et MASQUERADE en cas d'IP se sortie dynamique