Francois Bottin a écrit :

C'est pareil que chez moi (du moins pour l'instant). Mais ce qui est le plus intéressant, c'est qu'une fois que le flux est initié, on peut réactiver le filtrage (remettre DROP en policy sur INPUT), si on a
iptable -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Ça n'a rien d'extraordinaire, au contraire c'est parfaitement normal tant que le module de suivi de connexion (ip_conntrack) reste chargé.

Moi qui croyais qu'UDP était un protocole sans connexion...

Netfilter a une conception assez large de la notion de "connexion". Tout flux bidirectionnel quel que soit le protocole IP employé est considéré comme une connexion.

Est-ce que netfilter laisse passer les paquets parce que peu de temps avant un autre est déjà passé avec succès ?

La connexion étant déjà établie, les paquets lui appartenant sont classés dans l'état ESTABLISHED par le suivi de connexion et par conséquent acceptés par la règle iptables ci-dessus.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Répondre à