Le mer 29/01/2003 � 10:45, Jean-Michel OLTRA a �crit :
> Le mercredi 29 janvier 2003, Gregoire PAILLER a �crit...
> bonjour,
>
>
> > $IPTABLES -A INPUT -i ppp0 --protocol tcp --source-port 80 \
> > -m state --state ESTABLISHED -j ACCEPT
>
> Question: est ce qu'il est pertinent d'ajouter dans la r�gle un :
> !syn
>
> En fait peut-on avoir un flag syn sur une connexion ESTABLISHED ?
> Je dirais que non, mais c'est l'occasion d'en savoir plus.
> A vous les sp�cialistes tcp...
Je pense qu'il est inutile de rajouter un flag SYN car:
-Si la connexion est ESTABLISHED et qu'une connexion ESTABLISHED a
besoin du flag SYN, alors, interdire ce flag emp�chera le bon
fonctionnement de la r�gle
-Si la connexion est ESTABLISHED et qu'une connexion ESTABLISHED n'a
pas besoin de flag SYN, alors, la r�gle interdit automatiquement les
flags SYN (puisque on pas pas sp�cifi� --state NEW,ESTABLISHED)
Mon Pugolle dit:
Sc�nario de connexion (three-way handshake)
1. Ouverture passive par le serveur en attente de connexions
2. Ouverture active par le client
3. Le client envoie un segment de synchronisation (SYN) contenant
son num�ro de s�quence initial (ex:700)
4. Le serveur re�oit le (SYN) et renvoie au client un segment de
synchronisation contenant son num�ro de s�quence initial (ex :
400) et un (ACK) de 701 signifiant que le premier num�ro de
segment devrait �tre 701.
5. Le client re�oit le (SYN/ACK) et renvoie un (ACK) de 401.
6. Le client notifie l'ouverture de la connexion.
7. Le serveur re�oit (ACK) et notifie l'ouverture de la connexion.
Donc les signaux SYN/ACK n'apparaissent que lors de l'ouverture de la
connexion. On les autorise donc par --state NEW.
Voilou
--
Gr�goire PAILLER
[EMAIL PROTECTED]
