Reset masquerading après changement d'adresse IP
Bonjour,
J'utilise ipchains pour faire du masquerading et j'ai un problème
lors du changement d'adresse IP avec netissimo 1 (i.e. ADSL).
Rappel : Pour chaque transaction en cours, le masquerading définit
un délai d'attente avant de clore le lien entre le port local et
le port émulé. Normal.
Mais, malheureusement, la transaction contient aussi l'adresse IP
locale. Et donc, au changement d'adresse IP, toutes les transactions
ouvertes gardent l'ancienne adresse... Si à ce moment-là, une
requête DNS (UDP) est émise sur une transaction déjà ouverte, tout
s'emballe : les paquets UDP sont transmis aves l'ancienne adresse
donc aucune réponse à espérer, comme il n'y a pas de réponse la
requête est retransmise, donc la transaction relance son délai...
Bref, ça crée du DoS par IP spoofing sans le vouloir !
Pour l'instant, je relance _manuellement_ mon bind9 local. Il
sélectionne alors un autre port pour ses requêtes UDP et tout
rentre dans l'ordre.
J'ai recherché dans la doc et sur les forum mais je n'ai rien
trouvé. L'idéal serait de tuer toutes les transactions, mais je n'y
arrive pas : interdire momentanément le forwarding ou diminuer le délai
par défaut à 1 seconde n'a pas d'incidence sur les transactions en
cours...
Une idée ? Est-ce que le noyau 2.4 améliore la chose ?
Merci
Michel
Reply to: