Bonjour,
J'utilise une passerelle d'authentification pour autoriser le traffic réseau
(http://islay.dyndns.org/sesame/sesame.html) un peu modifiée.
Voici le principe :
Par défaut, le traffic est verrouillé
Quand l'utilisateur s'est authentifié, une règle iptables est créée pour autoriser son traffic
Les utilisateurs non-authentifiés sont redirigés vers un serveur_web pour justement s'authentifier.
Et Voila la traduction en iptables :
Les paquets marqués 1 sont interdits, les 2 passent
iptables -A FORWARD -i eth1 -m mark --mark 1 -j DROP
iptables -A FORWARD -i eth1 -m mark --mark 2 -j ACCEPT
Par défaut, tous les paquets sont marqués 1 (donc interdits)
iptables -t mangle -A FORWARD -i eth1 -j MARK --set-mark 1
Après authentification,le traffic venant de une_ip sont marqués 2 (donc autorisés)
iptables -t mangle -A FORWARD -i eth1 -s une_ip -J MARK --set-mark 2
Tous les paquets marqués 1 sont redirigés vers serveur_web (pour l'authentification)
iptables -t nat -A PREROUTING -i eth1 -m mark --mark 1 -j DNAT --to-destination serveur_web
Ou aussi :
iptables -t nat -A PREROUTING -i eth1 -m mark --mark 1 -j REDIRECT --to serveur_web
Malheureusement, cette dernière commande ne fonctionne pas.
Je pense que les paquets sont d'abord traité par la table NAT avant la table MANGLE ce qui fait que les paquets sont redirigés avant d'être marqués
