Bonjour,
 
J'ai 3 machines configurées comme ceci:

 
Les machines A et B sont allumées et connectées immédiatement. A envoie un flux
de données UDP en permanence vers B sur le port 9000.
 
Je veux que quand la machine C se connecte les paquets envoyés par A lui soit
retransmis sur le port 9000 également. Pour cela j'utilise la règle iptables
suivante:

Où 192.168.1.154 est l'IP de C et eth0 l'interface connectée à A.
 
Le problème est que cette règle ne fonctionne que si je redémarre le flux côté
A. Tant que je ne coupe pas l'envoi, C ne reçoit rien. Si j'arrête d'envoyer
puis recommence, alors les paquets sont bien redirigés.
 
Dans la pratique, A n'aura pas moyen de savoir si C est connecté ou non. Comment
faire pour que cette règle soit utilisée immédiatement?

Tu créé comment ta règle iptables ? Elle est active en permanence ?

Non, elle s'active quand C envoie un message (C'est comme ça que j'ai l'IP).

Tu parle d'un message envoyé par C. De quel type de message il s'agit ? Sous quel forme ?  
 
En fonction du retour a ces questions, tu dois pouvoir envoyé un 2eme message qui va réinitialiser l'état de connexion entre A et B(dst port 9000). Avec ca tu devrais arrivé au comportement que tu fais manuellement, et donc avoir les paquets qui arrive sur C et non plus sur B.  
 
Par contre, tu dis

 
J'ai un doute sur si tu veux une migration de flux ou un deuxième flux en parallèle.

C'est bien plus complexe que ça en vrai j'ai différentes applications qui tournent, j'ai plusieurs clients potentiels, etc...
 

Non en vrai je ne peux pas. Je le fais pour mes tests mais plus tard dans la vraie vie je ne pourrai pas couper le flux.
 
 

Pareil, j'ai énormément simplifié le problème car cette simple règle suffit à le reproduire => iptables ne prend pas en compte un flux de données déjà existant, ce que je trouve très étonnant.

Bonjour,
 
ça a toujours été
essaie par exemple d'ouvrir une connexion SSH puis de bloquer tout le trafic entrant/sortant.
la connexion SSH ne sautera pas.
mais si tu ferme la connexion SSH, tu ne pourras pas la rouvrir.
 
c'est d'ailleurs pour ça qu'il est vivement conseillé de maintenir une connexion SSH de secours ouverte quand on joue avec IPTABLES pour pas se retrouver bloqué dehors
 
tu peux essayer avec les états de connexion (NEW/ESTABLISHED) mais il me semble que ça ne fonctionne que sur le filtrage et pas sur le NAT (a tester/vérifier)

Arf... Tu veux dire qu'il n'y a pas de solution (avec iptables du moins)?

Essaie de regarder avec l'outil conntrack si tu peux pas "killer" la connexion (enfin du point de vue de ta machine vu que udp est stateless)

Désolé.
 

Je vais regarder ça dès que j'ai compris de quoi vous parlez l'un et l'autre. Merci.

Ça fonctionne avec conntrack -D . Merci à tous les deux pour les explications et la solution.