Serge Cavailles a écrit :
Note toutefois que le suivi de connexion de
Netfilter a ses limites, sauf aide d'un module "helper" pour certains
protocoles particuliers.
[...]
Autre exemple, il ne sait pas reconnaître
tout seul la réponse à une requête TFTP (en UDP) car le port source dans
le paquet de réponse du serveur est différent du port destination dans
le paquet de requête du client. Pour des protocoles aussi courants que
Netbios et TFTP, il existe des modules "helpers"
De manière similaire à ce qui existe pour FTP (en TCP) pour les mêmes
raisons. Ok.
Plus ou moins, car TFTP est vraiment spécial. En FTP, du point de vue
réseau la connexion TCP de données est totalement indépendante de la
connexion TCP de contrôle. En TFTP c'est un peu bâtard : la réponse est
envoyée par le serveur depuis un port UDP source différent du port TFTP
ayant reçu la requête mais vers le même port UDP destination que le port
source utilisé par la requête du client. C'est d'ailleurs grâce à cette
particularité que le helper reconnaît la réponse.
([ip|nf]_conntrack_netbios_nf et [ip|nf]_conntrack_tftp) qui permettre
de reconnaître ces réponses comme ESTABLISHED ou RELATED, mais rien
n'est prévu pour le cas général.
Pour NetBios, je n'ai rien vu dans mon noyau 2.6.8. Je suppose que tu parles
du Netbios_ns apparu au 2.6.14 selon
http://www.plouf.fr.eu.org/bazar/netfilter/changements-netfilter-2.6.html
Oui, en effet. Finalement cette page aura au moins servi à quelqu'un
d'autre que moi. :-)
[...]
Oui, j'ai une gestion 'explicite' de l'ICMP actuellement
Moi aussi en fait : comme je suis un peu parano, je n'accepte pas tous
les types ICMP qui sont classés dans l'état RELATED mais seulement ceux
que je considère comme indispensables (destination unreachable, time
exceeded, parameter problem). Idem pour les ICMP classés NEW : seul echo
request (ping) est accepté. En revanche tous les ICMP classés
ESTABLISHED sont acceptés : s'ils sont dans cet état, c'est qu'ils ont
été sollicités, donc il n'y a pas de raison de les bloquer.
qui n'a donc pas lieu d'exister.
Disons qu'il y a moyen de simplifier la gestion des ICMP ESTABLISHED.
Pour les autres états, c'est selon ses goûts.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
