Re: [HS] iptables, DNS sur une machne du LAN
Le Mercredi 04 Avril 2007 23:54, Franck Joncourt a écrit :
> On Wed, Apr 04, 2007 at 11:24:49PM +0200, Pascal Hambourg wrote:
> > Disons qu'il y a moyen de simplifier la gestion des ICMP ESTABLISHED.
> > Pour les autres états, c'est selon ses goûts.
>
> De maniere generale, pour le suivi de connexion, cela se presente de la
> facon suivante :
>
> ## ICMP :
> echo-request/echo-reply : NEW > ESTABLISHED
> autres : NEW > RELATED
>
> ## TCP :
> NEW, RELATED, ESTABLISHED
>
> ## UDP :
> NEW, ESTABLISHED
>
> Aurais-je faux ?
>
> L'etat RELATED associé aux connexions TCP n'existe que grace aux modules
> de suivi de connexion conntrack specifiques.
Oui. Ce qui m'amène à me demander si on ne peut pas en dire autant à propos
de l'UDP , et considérer donc que, dans le cas par exemple du TFTP cité par
Pascal, RELATED puisse aussi s'appliquer en UDP aux paquets de la connexion
'retour' initiée par le serveur.
> Je vois ce dernier comme la
> *dérivation* d'une connexion qualifiée comme ESTABLISHED. Vous voyez
> cela comment ?
Pas sans mes lunettes :D
Le terme 'dérivation' me semble prêter à confusion; on peut penser à un
dédoublement (1->1 devient 1->2) ou à un ManInTheMiddle (déviation).
Celà ne traduit pas pleinement à mon sens qu'il s'agit de "connexions"
_distinctes_ qui sont *induites*(1) par la "connexion" initiale. Le terme
connexion désigne ici plutôt un canal de communication s'il doit aussi être
applicable pour l'udp.
La définition donnée sur le site de netfilter:
[cite]
RELATED
Un paquet qui est relaté a, mais pas partie de, une connection
existante, comme une erreur ICMP, ou ( avec le module ftp chargé),
un paquet qui etablit une connection de données ftp.
[/cite]
(1) dépendantes, liées, subordonnées, apparentées (on retrouve 'related' en
anglais pour ce dernier)
--
Serge
Reply to: