Thierry Fournier wrote: > j'ai trouv� cette config de firewall a cette page: > http://doc.domainepublic.net/linux/faq_debian-user/debfr-adsl.html#toc51 > > paragraphe 9.2.3 > > je pense que cette config est fausse car �tant donn� que le protocole > est de l'udp, il n'y a pas de suivi d'etat, donc cette ligne est fausse: > "-m state --state NEW -j ACCEPT", mais il se peut qu'elle fonctionne > quand meme Le suivi de connexion ne s'effectue pas en regardant seulement les flags SYN et ACK. Il est donc possible de faire un suivi de connexion sur de l'UDP. http://iptables-tutorial.frozentux.net/chunkyhtml/udpconnections.html
> et l'autre doute que j'ai c'est le "--sport 123", en general, on emet > d'un port > 1024 vers le port 123, je pense que celle ci est donc fausse > aussi (mais cela reste a verifier) Pas forc�ment. On peut faire du port 123 vers du port 123. Il faut voir le fonctionnement de ntp. Voil� ce que j'ai trouv� sur le net : "NTP uses UDP/IP packets for data transfer because of the fast connection setup and response times. The official port number for the NTP (that ntpd and ntpdate listen and talk to) is 123." Donc ca � l'air bon. http://www.eecis.udel.edu/~ntp/ntpfaq/NTP-s-algo.htm#AEN1815 > > iptables -A FORWARD -i $INTERNAL_INTERFACE -o $EXTERNAL_INTERFACE > -p udp > -s $SERVEUR_NTP_INTERNE --sport 123 > -d $NTP_SERVEUR_REFERENCE_1 --dport 123 > -m state --state NEW -j ACCEPT > cordialement > thierry Fournier Donc je dirai que pour moi il n'y a pas d'erreur :) Guillaume Lehmann -- El�ve Mastaire en Syst�mes de T�l�communications et R�seaux Informatiques promo 2003 DESS STRI - Toulouse III site web : http://lehmann.free.fr t�l : 05 61 73 19 95
