[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] iptables, DNS sur une machne du LAN



Serge Cavailles a écrit :

Note toutefois que le suivi de connexion de Netfilter a ses limites, sauf aide d'un module "helper" pour certains
protocoles particuliers.
[...]
Autre exemple, il ne sait pas reconnaître tout seul la réponse à une requête TFTP (en UDP) car le port source dans
le paquet de réponse du serveur est différent du port destination dans
le paquet de requête du client. Pour des protocoles aussi courants que
Netbios et TFTP, il existe des modules "helpers"

De manière similaire à ce qui existe pour FTP (en TCP) pour les mêmes raisons. Ok.

Plus ou moins, car TFTP est vraiment spécial. En FTP, du point de vue réseau la connexion TCP de données est totalement indépendante de la connexion TCP de contrôle. En TFTP c'est un peu bâtard : la réponse est envoyée par le serveur depuis un port UDP source différent du port TFTP ayant reçu la requête mais vers le même port UDP destination que le port source utilisé par la requête du client. C'est d'ailleurs grâce à cette particularité que le helper reconnaît la réponse.

([ip|nf]_conntrack_netbios_nf et [ip|nf]_conntrack_tftp) qui permettre
de reconnaître ces réponses comme ESTABLISHED ou RELATED, mais rien
n'est prévu pour le cas général.

Pour NetBios, je n'ai rien vu dans mon noyau 2.6.8. Je suppose que tu parles du Netbios_ns apparu au 2.6.14 selon http://www.plouf.fr.eu.org/bazar/netfilter/changements-netfilter-2.6.html

Oui, en effet. Finalement cette page aura au moins servi à quelqu'un d'autre que moi. :-)

[...]
Oui, j'ai une gestion 'explicite' de l'ICMP actuellement

Moi aussi en fait : comme je suis un peu parano, je n'accepte pas tous les types ICMP qui sont classés dans l'état RELATED mais seulement ceux que je considère comme indispensables (destination unreachable, time exceeded, parameter problem). Idem pour les ICMP classés NEW : seul echo request (ping) est accepté. En revanche tous les ICMP classés ESTABLISHED sont acceptés : s'ils sont dans cet état, c'est qu'ils ont été sollicités, donc il n'y a pas de raison de les bloquer.

qui n'a donc pas lieu d'exister.

Disons qu'il y a moyen de simplifier la gestion des ICMP ESTABLISHED. Pour les autres états, c'est selon ses goûts.



Reply to: