Bonjour tt le monde

>> $IPTABLES -A INPUT -i ppp0 --protocol tcp \
>>        --source-port 80 -m state \
>>        --state ESTABLISHED -j ACCEPT 

> Question: est ce qu'il est pertinent d'ajouter dans 
>la r�gle un :
>       !syn
> En fait peut-on avoir un flag syn sur une connexion 
> ESTABLISHED ? Je dirais que non, mais c'est 
> l'occasion d'en savoir plus.

En fait, le !syn vient en redondance par rapport au
ESTABLISHED...

L'utilit� de v�rifier le couple syn/ack est de savoir
si une communication se situe dans l'une des 3 �atpes
d'un �tablissement tcp ou en phase �tablie... dans le
cas ou tu ne disposes pas d'un firewall "statefull
match"...

En gros, c'est utile si tu n'utilises pas le champ "-m
state"...

Avantage ? moins de m�moire consomm�e...
Inconv�nient ? Il faut etre encore plus vigilant lors
de l'�criture des r�gles...

> A vous les sp�cialistes tcp...

Olivier
Euh... zut, j'aurais pas du r�pondre alors... :o)



Répondre à