Ta question n'est pas très clair, aussi je ne suis pas sûr que ma réponse y soit adapté :
- avec "--to-source", netfilter modifie les paquets arrivant d'internet et qui rentrent dans ton réseau; L'adresse IP SOURCE est remplacée par celle de "--to-source", qui est généralement celle de l'interface réseau INTERNE de ton firewall Linux. Ainsi, la machine qui va recevoir ces paquets pensera qu'il arrivent depuis le firewall, et non plus d'Internet. lorsque la machine répondra, elle répondra directement au firewall, qui renverra l'information à la machine se trouvant sur Internet. L'intérêt de cette technique est qu'il n'est pas nécessaire de definir une route par défaut pour la machine cliente de ton réseau interne. Ainsi, un intrus qui prend le contrôle de cette machine ne pourra pas sortir de ton reseau Interne, il sera donc piégé sur cette machine.
- avec "-j masquerade", les adresses IP SOURCE des paquets arrivant d'internet NE sont PAS modifiés. Donc si la machine cliente doit répondre, elle DEVRA connaître la route par défaut permettant d'acceder à internet. Et donc tout autre programme tournant sur cette machine pourra accéder à internet, ce qui n'est pas forcément une nécessité.
# Pas très clair...
Posté par Olivier (site web personnel) . En réponse au message Une question sur NAT. Évalué à 1.
- avec "--to-source", netfilter modifie les paquets arrivant d'internet et qui rentrent dans ton réseau; L'adresse IP SOURCE est remplacée par celle de "--to-source", qui est généralement celle de l'interface réseau INTERNE de ton firewall Linux. Ainsi, la machine qui va recevoir ces paquets pensera qu'il arrivent depuis le firewall, et non plus d'Internet. lorsque la machine répondra, elle répondra directement au firewall, qui renverra l'information à la machine se trouvant sur Internet. L'intérêt de cette technique est qu'il n'est pas nécessaire de definir une route par défaut pour la machine cliente de ton réseau interne. Ainsi, un intrus qui prend le contrôle de cette machine ne pourra pas sortir de ton reseau Interne, il sera donc piégé sur cette machine.
- avec "-j masquerade", les adresses IP SOURCE des paquets arrivant d'internet NE sont PAS modifiés. Donc si la machine cliente doit répondre, elle DEVRA connaître la route par défaut permettant d'acceder à internet. Et donc tout autre programme tournant sur cette machine pourra accéder à internet, ce qui n'est pas forcément une nécessité.
J'ai expliqué plus en détails ces problèmes sur mon site : http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-08.htm(...)