Re: [HS] iptables, DNS sur une machne du LAN

To: debian-user-french@lists.debian.org
Subject: Re: [HS] iptables, DNS sur une machne du LAN
From: Serge Cavailles <debserge@free.fr>
Date: Thu, 5 Apr 2007 22:02:27 +0200
Message-id: <[🔎] 200704052202.27521.debserge@free.fr>
In-reply-to: <[🔎] 461417A1.7090900@plouf.fr.eu.org>
References: <[🔎] ca8ba4880704020717m731debd6r630842777671b744@mail.gmail.com> <[🔎] 200704042246.44589.debserge@free.fr> <[🔎] 461417A1.7090900@plouf.fr.eu.org>

Le Mercredi 04 Avril 2007 23:24, Pascal Hambourg a écrit :
> Serge Cavailles a écrit :
> >>Note toutefois que le suivi de connexion de
> >>Netfilter a ses limites, sauf aide d'un module "helper" pour certains
> >>protocoles particuliers.
>
> [...]
>
> >>Autre exemple, il ne sait pas reconnaître
> >>tout seul la réponse à une requête TFTP (en UDP) car le port source
> >> dans le paquet de réponse du serveur est différent du port destination
> >> dans le paquet de requête du client. Pour des protocoles aussi
> >> courants que Netbios et TFTP, il existe des modules "helpers"
> >
> > De manière similaire à ce qui existe pour FTP (en TCP) pour les mêmes
> > raisons. Ok.
>
> Plus ou moins, car TFTP est vraiment spécial. En FTP, du point de vue
> réseau la connexion TCP de données est totalement indépendante de la
> connexion TCP de contrôle. En TFTP c'est un peu bâtard : la réponse est
> envoyée par le serveur depuis un port UDP source différent du port TFTP
> ayant reçu la requête mais vers le même port UDP destination que le port
> source utilisé par la requête du client. C'est d'ailleurs grâce à cette
> particularité que le helper reconnaît la réponse.

Cela veut-il dire que les paquets en provenance du serveur par cette 2e voie 
sont considérés RELATED? La question me vient suite aux questionnements de 
Franck.

[snip]

> > Oui, j'ai une gestion 'explicite' de l'ICMP actuellement
>
> Moi aussi en fait : comme je suis un peu parano, je n'accepte pas tous
> les types ICMP qui sont classés dans l'état RELATED mais seulement ceux
> que je considère comme indispensables (destination unreachable, time
> exceeded, parameter problem). Idem pour les ICMP classés NEW : seul echo
> request (ping) est accepté. En revanche tous les ICMP classés
> ESTABLISHED sont acceptés : s'ils sont dans cet état, c'est qu'ils ont
> été sollicités, donc il n'y a pas de raison de les bloquer.
>
> > qui n'a donc pas lieu d'exister.
>
> Disons qu'il y a moyen de simplifier la gestion des ICMP ESTABLISHED.

Oui. Je me suis mal exprimé.

> Pour les autres états, c'est selon ses goûts.

Restons donc parano^W raisonablement optimiste ;)

Merci pour ces infos.
-- 
Serge

Reply to:

References:
- [HS] iptables, DNS sur une machne du LAN
  - From: "Le poulpe qui bloppe !" <monpoulpe@gmail.com>
- Re: [HS] iptables, DNS sur une machne du LAN
  - From: Serge Cavailles <debserge@free.fr>
- Re: [HS] iptables, DNS sur une machne du LAN
  - From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>

Prev by Date: Re: Comment connaitre l'efficacité du couple linux-image/processeur?
Next by Date: Re: [HS] iptables, DNS sur une machne du LAN
Previous by thread: Re: [HS] iptables, DNS sur une machne du LAN
Next by thread: Re: [HS] iptables, DNS sur une machne du LAN
Index(es):
- Date
- Thread