[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] iptables, DNS sur une machne du LAN

Serge Cavailles a écrit :
> Le Lundi 02 Avril 2007 19:16, Pascal Hambourg a écrit :
>> Salut,
> Bonjour,
> 
>> Serge Cavailles a écrit :
>>> Au vu du script, il me semble que la réponse de votre dns est détournée
>>> par la règle de masquerading
>>> $IPTABLES -t nat -A POSTROUTING -s $MOE -o $IF_WAN -j MASQUERADE
>> Aucune chance, les paquets dans l'état ESTABLISHED ne traversent pas les
>> chaînes de la table 'nat'. Ils sont traités implicitement en fonction
>> des opérations de NAT appliquées au premier paquet de la connexion.
> 
> Bien sûr, pour du TCP, mais dans le cas du dns, vu qu'on est en UDP, je ne 
> pense pas qu'il puisse y avoir de paquets ESTABLISHED.
> 
> Mais je peux me tromper, je l'ai déjà prouvé :D

Vi, tu te trompes: si la réponse à la requête dépasse 512 byte, la
réponse sera systématiquement en TCP et pas en UDP:

http://www.secuobs.com/plugs/18356.shtml


-- 
You can see that there are 25 unread articles in `news.announce.newusers'.
There are no unread articles, but some ticked articles, in
`alt.fan.andrea-dworkin' (see that little asterisk at the beginning of the
line?)
You can fuck that up to your heart's delight by fiddling with the
`gnus-group-line-format' variable.
		-- From the (ding) Gnus 5 documentation, by Lars Magne Ingebrigtsen
Reply to: