Jacques L'helgoualc'h a écrit :
(mais on dispose du nom générique ppp+)Ça résoud le cas précédent où il n'y a qu'une interface PPP. Mais, pour prendre un exemple, mon routeur domestique, en plus d'avoir une interface PPP pour la connexion ADSL, sert aussi de serveur PPTP pouvant distribuer des adresses IP publiques à des machines du LAN en cas d'utilisation incompatible avec le NAT, ce qui peut créer jusqu'à 4 autres interfaces PPP. Cela fait donc plusieurs interfaces dynamiques qui peuvent être créées et donc nommées dans n'importe quel ordre.Ce n'est pas ce que j'entends par « cas simples » :)
J'avais trop envie d'exposer un cas pratique "pas simple" illustrant l'intérêt des règles iptables dynamiques. :-)
Et bien entendu les règles iptables sont radicalement différentes pour la connexion internet et les tunnels PPTP, et sont même différenciées pour chaque tunnel en fonction de l'adresse attribuée au client. Donc pas question d'utiliser ppp+.Évidemment. Sauf peut-être pour (essayer d')optimiser la logique du tri des paquets
Oui, pourquoi pas. Je n'y avais pas pensé. Mais je me demande si le gain est sensible pour une poignée d'interfaces PPP.
et/ou mettre en commun certaines règles.
Eventuellement, mais ces règles communes ne seraient probablement pas spécifiques aux seules interfaces PPP. Pour ma part j'ai choisi l'option "dure" : le premier tri est fait en fonction de l'interface. Du coup si une interface n'est pas explicitement prise en compte dans les règles, aucun trafic IP ne peut passer par elle. Les paquets sont ensuite triés par état de suivi de connexion, puis par protocole. C'est seulement à ces niveaux que j'ai des chaînes utilisateurs communes pour le traitement de l'état RELATED, des types ICMP et des paquets rejetés qui est le même quelle que soit l'interface.