Re: iptables et syslog
Le mer 29/01/2003 à 10:45, Jean-Michel OLTRA a écrit :
> Le mercredi 29 janvier 2003, Gregoire PAILLER a écrit...
> bonjour,
>
>
> > $IPTABLES -A INPUT -i ppp0 --protocol tcp --source-port 80 \
> > -m state --state ESTABLISHED -j ACCEPT
>
> Question: est ce qu'il est pertinent d'ajouter dans la règle un :
> !syn
>
> En fait peut-on avoir un flag syn sur une connexion ESTABLISHED ?
> Je dirais que non, mais c'est l'occasion d'en savoir plus.
> A vous les spécialistes tcp...
Je pense qu'il est inutile de rajouter un flag SYN car:
-Si la connexion est ESTABLISHED et qu'une connexion ESTABLISHED a
besoin du flag SYN, alors, interdire ce flag empêchera le bon
fonctionnement de la règle
-Si la connexion est ESTABLISHED et qu'une connexion ESTABLISHED n'a
pas besoin de flag SYN, alors, la règle interdit automatiquement les
flags SYN (puisque on pas pas spécifié --state NEW,ESTABLISHED)
Mon Pugolle dit:
Scénario de connexion (three-way handshake)
1. Ouverture passive par le serveur en attente de connexions
2. Ouverture active par le client
3. Le client envoie un segment de synchronisation (SYN) contenant
son numéro de séquence initial (ex:700)
4. Le serveur reçoit le (SYN) et renvoie au client un segment de
synchronisation contenant son numéro de séquence initial (ex :
400) et un (ACK) de 701 signifiant que le premier numéro de
segment devrait être 701.
5. Le client reçoit le (SYN/ACK) et renvoie un (ACK) de 401.
6. Le client notifie l'ouverture de la connexion.
7. Le serveur reçoit (ACK) et notifie l'ouverture de la connexion.
Donc les signaux SYN/ACK n'apparaissent que lors de l'ouverture de la
connexion. On les autorise donc par --state NEW.
Voilou
--
Grégoire PAILLER
gregg@p-gregg.com
Reply to: