-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 > Salut,
Salut, > Franck Joncourt a écrit : >> >> Tu peux omettre --syn vu que la table nat ne vois passer que les paquets >> créant __les nouvelles connexions__. > > Les chaînes de la table nat ne voient passer que les paquets créant une > nouvelle "connexion", mais au sens du suivi de connexion de Netfilter > (conntrack), qui n'a pas les mêmes critères que la pile TCP/IP. Selon la > version du noyau et la valeur de certains paramètres du noyau, un paquet > TCP non SYN peut très bien créer une nouvelle "connexion" au sens du > suivi de connexion de Netfilter. En gros avec : > - un noyau antérieur à 2.6.9 (sans suivi des numéros de séquence TCP) > - ou avec /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal=1 > - ou avec /proc/sys/net/netfilter/nf_conntrack_tcp_be_liberal=1 > n'importe quel segment TCP peut créer une nouvelle "connexion". J'ai bien vu ces options mais je ne m'y suis jamais attardé. Sur la liste Netfilter certaines personnes l'activaient mais je ne me souviens plus de la raison exacte. Après avoir creusé un peu plus, il semble que ce soit pour éviter de considérer les paquets qui sont hors de la fenêtre tcp comme INVALID (au sens suivi de connexion) Dans quel(s) cas cette option __tcp_be_liberal__ a-t-elle un intérêt ? En d'autres termes, pourquoi devrait-on accepter ces paquets ? >> iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner nobody >> - -j REDIRECT --to-port 8080 > > Il ne manquerait pas un "!" quelque part pour inverser la condition owner ? Je me suis planté ... :(! Merci pour la mise au point. Petite note au passage : si tu veux t'amuser un peu il y a deux nouvelles librairies perl pour la manipulation des règles iptables qui sont arrivées dans le dépôt Debian : libiptables-parse-perl et libiptables-chainmgr-perl. - -- Franck Joncourt http://debian.org - http://smhteam.info/wiki/ Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAkhX+KgACgkQxJBTTnXAif4WvACgr0sR/ddQSyguZeoRdEDaNYa6 f7MAoMagWO/Ih99ytWAAm3mG/ot5EsDF =LN6O -----END PGP SIGNATURE----- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]