Re: [HS] iptables, DNS sur une machne du LAN
Le Mercredi 04 Avril 2007 19:35, Pascal Hambourg a écrit :
> Serge Cavailles a écrit :
> > Ah! J'ai toujours cru que le conntrack ne pouvait s'appliquer qu'à des
> > connections au sens TCP.
>
> Et non, pas seulement.
Eh oui, présupposé sans fondement. :/
> Note toutefois que le suivi de connexion de
> Netfilter a ses limites, sauf aide d'un module "helper" pour certains
> protocoles particuliers. Par exemple il ne sait pas reconnaître les
> réponses à un paquet émis en broadcast (ICMP ping broadcast, annonce
> Netbios UDP) car l'adresse source unicast des paquets de réponse est
> différente de l'adresse broadcast du paquet initial : comme le suivi de
> connexion ne sait rien de l'organisation des sous-réseaux, il ne fait
> pas le lien entre les deux.
Ça se comprend, suffit (quand même) d'y penser.
> Autre exemple, il ne sait pas reconnaître
> tout seul la réponse à une requête TFTP (en UDP) car le port source dans
> le paquet de réponse du serveur est différent du port destination dans
> le paquet de requête du client. Pour des protocoles aussi courants que
> Netbios et TFTP, il existe des modules "helpers"
De manière similaire à ce qui existe pour FTP (en TCP) pour les mêmes
raisons. Ok.
> ([ip|nf]_conntrack_netbios_nf et [ip|nf]_conntrack_tftp) qui permettre
> de reconnaître ces réponses comme ESTABLISHED ou RELATED, mais rien
> n'est prévu pour le cas général.
Pour NetBios, je n'ai rien vu dans mon noyau 2.6.8. Je suppose que tu parles
du Netbios_ns apparu au 2.6.14 selon
http://www.plouf.fr.eu.org/bazar/netfilter/changements- \
netfilter-2.6.html#linux-2.6.8
> > Je vais donc pouvoir simplifier mes règles.
>
> Probablement.
Oui, j'ai une gestion 'explicite' de l'ICMP actuellement qui n'a donc pas
lieu d'exister.
> [snip]
Merci pour ces précisions.
--
Serge
Reply to: