Le Mercredi 04 Avril 2007 23:24, Pascal Hambourg a écrit : > Serge Cavailles a écrit : > >>Note toutefois que le suivi de connexion de > >>Netfilter a ses limites, sauf aide d'un module "helper" pour certains > >>protocoles particuliers. > > [...] > > >>Autre exemple, il ne sait pas reconnaître > >>tout seul la réponse à une requête TFTP (en UDP) car le port source > >> dans le paquet de réponse du serveur est différent du port destination > >> dans le paquet de requête du client. Pour des protocoles aussi > >> courants que Netbios et TFTP, il existe des modules "helpers" > > > > De manière similaire à ce qui existe pour FTP (en TCP) pour les mêmes > > raisons. Ok. > > Plus ou moins, car TFTP est vraiment spécial. En FTP, du point de vue > réseau la connexion TCP de données est totalement indépendante de la > connexion TCP de contrôle. En TFTP c'est un peu bâtard : la réponse est > envoyée par le serveur depuis un port UDP source différent du port TFTP > ayant reçu la requête mais vers le même port UDP destination que le port > source utilisé par la requête du client. C'est d'ailleurs grâce à cette > particularité que le helper reconnaît la réponse.
Cela veut-il dire que les paquets en provenance du serveur par cette 2e voie sont considérés RELATED? La question me vient suite aux questionnements de Franck. [snip] > > Oui, j'ai une gestion 'explicite' de l'ICMP actuellement > > Moi aussi en fait : comme je suis un peu parano, je n'accepte pas tous > les types ICMP qui sont classés dans l'état RELATED mais seulement ceux > que je considère comme indispensables (destination unreachable, time > exceeded, parameter problem). Idem pour les ICMP classés NEW : seul echo > request (ping) est accepté. En revanche tous les ICMP classés > ESTABLISHED sont acceptés : s'ils sont dans cet état, c'est qu'ils ont > été sollicités, donc il n'y a pas de raison de les bloquer. > > > qui n'a donc pas lieu d'exister. > > Disons qu'il y a moyen de simplifier la gestion des ICMP ESTABLISHED. Oui. Je me suis mal exprimé. > Pour les autres états, c'est selon ses goûts. Restons donc parano^W raisonablement optimiste ;) Merci pour ces infos. -- Serge
