Re :
Thierry Fournier wrote:
> j'ai trouvé cette config de firewall a cette page:
> http://doc.domainepublic.net/linux/faq_debian-user/debfr-adsl.html#toc51
>
> paragraphe 9.2.3
>
> je pense que cette config est fausse car étant donné que le protocole
> est de l'udp, il n'y a pas de suivi d'etat, donc cette ligne est fausse:
> "-m state --state NEW -j ACCEPT", mais il se peut qu'elle fonctionne
> quand meme
Le suivi de connexion ne s'effectue pas en regardant seulement les flags SYN et
ACK. Il est donc possible de faire un suivi de connexion sur de l'UDP.
http://iptables-tutorial.frozentux.net/chunkyhtml/udpconnections.html
> et l'autre doute que j'ai c'est le "--sport 123", en general, on emet
> d'un port > 1024 vers le port 123, je pense que celle ci est donc fausse
> aussi (mais cela reste a verifier)
Pas forcément. On peut faire du port 123 vers du port 123. Il faut voir le
fonctionnement de ntp. Voilà ce que j'ai trouvé sur le net :
"NTP uses UDP/IP packets for data transfer because of the fast connection setup
and response times. The official port number for the NTP (that ntpd and ntpdate
listen and talk to) is 123." Donc ca à l'air bon.
http://www.eecis.udel.edu/~ntp/ntpfaq/NTP-s-algo.htm#AEN1815
>
> iptables -A FORWARD -i $INTERNAL_INTERFACE -o $EXTERNAL_INTERFACE
> -p udp
> -s $SERVEUR_NTP_INTERNE --sport 123
> -d $NTP_SERVEUR_REFERENCE_1 --dport 123
> -m state --state NEW -j ACCEPT
> cordialement
> thierry Fournier
Donc je dirai que pour moi il n'y a pas d'erreur :)
Guillaume Lehmann
--
Elève Mastaire en Systèmes de Télécommunications et Réseaux Informatiques
promo 2003 DESS STRI - Toulouse III
site web : http://lehmann.free.fr
tél : 05 61 73 19 95
Reply to: