iptables : table nat / nouvelles connexions

To: debian-user-french@lists.debian.org
Subject: iptables : table nat / nouvelles connexions
From: Franck Joncourt <franck.mail@dthconnex.com>
Date: Tue, 17 Jun 2008 19:47:20 +0200
Message-id: <[🔎] 4857F8A8.90401@dthconnex.com>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> Salut,

Salut,

> Franck Joncourt a écrit :
>>
>> Tu peux omettre --syn vu que la table nat ne vois passer que les paquets
>> créant __les nouvelles connexions__.
>
> Les chaînes de la table nat ne voient passer que les paquets créant une
> nouvelle "connexion", mais au sens du suivi de connexion de Netfilter
> (conntrack), qui n'a pas les mêmes critères que la pile TCP/IP. Selon la
> version du noyau et la valeur de certains paramètres du noyau, un paquet
> TCP non SYN peut très bien créer une nouvelle "connexion" au sens du
> suivi de connexion de Netfilter. En gros avec :
> - un noyau antérieur à 2.6.9 (sans suivi des numéros de séquence TCP)
> - ou avec /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal=1
> - ou avec /proc/sys/net/netfilter/nf_conntrack_tcp_be_liberal=1
> n'importe quel segment TCP peut créer une nouvelle "connexion".

J'ai bien vu ces options mais je ne m'y suis jamais attardé.
Sur la liste Netfilter certaines personnes l'activaient mais je ne me
souviens plus de la raison exacte.

Après avoir creusé un peu plus, il semble que ce soit pour éviter de
considérer les paquets qui sont hors de la fenêtre tcp comme INVALID (au
sens suivi de connexion)

Dans quel(s) cas cette option __tcp_be_liberal__ a-t-elle un intérêt ?
En d'autres termes, pourquoi devrait-on accepter ces paquets ?

>> iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nobody
>> - -j REDIRECT --to-port 8080
>
> Il ne manquerait pas un "!" quelque part pour inverser la condition
owner ?

Je me suis planté ... :(!

Merci pour la mise au point.

Petite note au passage : si tu veux t'amuser un peu il y a deux
nouvelles librairies perl pour la manipulation des règles iptables qui
sont arrivées dans le dépôt Debian : libiptables-parse-perl et
libiptables-chainmgr-perl.

- --
Franck Joncourt
http://debian.org - http://smhteam.info/wiki/
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkhX+KgACgkQxJBTTnXAif4WvACgr0sR/ddQSyguZeoRdEDaNYa6
f7MAoMagWO/Ih99ytWAAm3mG/ot5EsDF
=LN6O
-----END PGP SIGNATURE-----

Reply to:

Prev by Date: Re: Problem de configuration Merlin U630 avec Bougues/SFR
Next by Date: Re: APT et proxy
Previous by thread: Re: APT et proxy
Next by thread: Re: [testing] declaration d'impots: ça marche!!!
Index(es):
- Date
- Thread