Le vendredi 16 février 2007 10:22, Pascal Hambourg a écrit : > Michel Grentzinger a écrit : > >>>Petite variante pour l'état ESTABLISHED : > >>>http://lists.debian.org/debian-user-french/2002/06/msg01183.html > >> > >>Quelle variante ? Par rapport à quoi ? > > > > Pas besoin de NEW pour l'état RELATED en ftp. > > Le paquet NEW qui a créé la connexion de contrôle sur le port TCP 21, il > n'a pas fallu l'accepter ?
Je ne suis pas un expert en filtrage de paquet mais je m'étais penché sur la question il y a quelques temps. Je copie/colle ce qu'on m'avais répondu sur fr.comp.securite : == CITATION ============================================ Un paquet ne peut avoir l'etat RELATED que s'il initie une connexion attendu par un helper du systeme, ip_conntrack_ftp par exemple. Il ne peut avoir l'etat ESTABLISHED que si une connexion est deja active. Dans notre cas, le paquet qui ouvre cette connexion part du client et a l'etat RELATED, les suivant ESTABLISHED dans les deux sens. C'est pour cela que la regle en -i ppp0 ne porte que les ESTABLISHED. > Comment est ouvert une connexion en FTP passif ? Apparement, il > n'y a pas de paquet marqué NEW dans ce cas...si ? C'est normal. Le module ip_conntrack_ftp est la pour lire la negociation qui sert a l'etablissement de la connexion de donnees. Quand il la repere, il en lit les parametres et prepare un etat pour la prendre en charge. Des lors, le paquet d'initiation de cette connexion ne sera pas NEW, mais RELATED, parce que correspondant a un etat attendu. == FIN DE CITATION ======================================== L'échange complet est ici : http://groups.google.fr/group/fr.comp.securite/browse_thread/thread/45bb81b2cc2372ef?hl=fr -- Michel Grentzinger OpenPGP key ID : B2BAFAFA Available on http://www.keyserver.net
