Serge Cavailles a écrit :
Note toutefois que le suivi de connexion de Netfilter a ses limites, sauf aide d'un module "helper" pour certainsprotocoles particuliers.
[...]
Autre exemple, il ne sait pas reconnaître tout seul la réponse à une requête TFTP (en UDP) car le port source dansle paquet de réponse du serveur est différent du port destination dans le paquet de requête du client. Pour des protocoles aussi courants que Netbios et TFTP, il existe des modules "helpers"De manière similaire à ce qui existe pour FTP (en TCP) pour les mêmes raisons. Ok.
Plus ou moins, car TFTP est vraiment spécial. En FTP, du point de vue réseau la connexion TCP de données est totalement indépendante de la connexion TCP de contrôle. En TFTP c'est un peu bâtard : la réponse est envoyée par le serveur depuis un port UDP source différent du port TFTP ayant reçu la requête mais vers le même port UDP destination que le port source utilisé par la requête du client. C'est d'ailleurs grâce à cette particularité que le helper reconnaît la réponse.
([ip|nf]_conntrack_netbios_nf et [ip|nf]_conntrack_tftp) qui permettre de reconnaître ces réponses comme ESTABLISHED ou RELATED, mais rien n'est prévu pour le cas général.Pour NetBios, je n'ai rien vu dans mon noyau 2.6.8. Je suppose que tu parles du Netbios_ns apparu au 2.6.14 selon http://www.plouf.fr.eu.org/bazar/netfilter/changements-netfilter-2.6.html
Oui, en effet. Finalement cette page aura au moins servi à quelqu'un d'autre que moi. :-)
[...]
Oui, j'ai une gestion 'explicite' de l'ICMP actuellement
Moi aussi en fait : comme je suis un peu parano, je n'accepte pas tous les types ICMP qui sont classés dans l'état RELATED mais seulement ceux que je considère comme indispensables (destination unreachable, time exceeded, parameter problem). Idem pour les ICMP classés NEW : seul echo request (ping) est accepté. En revanche tous les ICMP classés ESTABLISHED sont acceptés : s'ils sont dans cet état, c'est qu'ils ont été sollicités, donc il n'y a pas de raison de les bloquer.
qui n'a donc pas lieu d'exister.
Disons qu'il y a moyen de simplifier la gestion des ICMP ESTABLISHED. Pour les autres états, c'est selon ses goûts.