NetFilter qu'est ce qu'il fait ? et le NAT !!!!

NetFilter qu'est ce qu'il fait ? et le NAT !!!! - Linux et OS Alternatifs

Marsh Posté le 05-12-2001 à 08:54:47    

Le NAT :
1 -
 
bon ok je sais a quoi ca sert ... SNAT (mes pc peuvent aller sur le web via ma passerelle avec l'adresse attribué a ma carte ppp0) mais par contre
j'aimerai savoir ce qui se passe avec les paquets qui me reviennent ?
Comment le Netfilter sait que ce sont bien les paquets autorisé a revenir a LA machine 'truc' emettant la requete ?
 
2 -  
 
j'ai lu le how to de christian caelcera (bon doc. !!!) mais par contre j'aimerai que quelqu'un m'indique ou trouver un schema du cheminement des paquets dans la chaine iptables (ou netfilter) la logique !! ... car je melange un peu tout !!
 
3 -
 
toutes ces questions, car hier soi j'ai voulu jouer a Age 2 via le web sur le pc d'un pote qui a l'adsl (et numeris) ... on a fait du unreal tounrament : ok, mais impossible de joindre la partie qu'il avait cree sous age 2 , why ????
 
(mon firewall linux est ouvert de partout et il fait du masquerade)
 
Merci a vous tous.
 
De plus

Reply

Marsh Posté le 05-12-2001 à 08:54:47   

Reply

Marsh Posté le 05-12-2001 à 10:08:34    

pour le schémas, c décrit dans le howto de netfilter. Il y est expliqué comment les paquets sont traités et par où ils passent. J'avais un lien où c'était expliqué mais je ne l'ai pas sous la main la... Si je le retrouve je le mets ici.
 
Pour ta question 1, ben c principe du nat meme de savoir quelle machine a émis le paquet et de lui faire parvenir le retour. En gros, quand une machine émet un paquet, ce paquet contien l'ip source+un num de port source et une ip destination+port destination. Netfilter stocke dans une table l'ip source+le port source avant de modifier le paquet pour faire du nat. Ensuite, quand le paquet revient, il contien une une ip destination+port destination. Netfilter regarde dans sa table pour retrouver le num de port et denat le paquet avec l'ip trouvé dans la table. Facile non ? Par contre, je ne sais pas si j'ai été super claire, meme si pour moi ça l'est...
 
Pour ta question 3, je ne sais pas car je ne joue pas encore à travers un firewall.


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 05-12-2001 à 12:06:08    

moi ce qui m'impressione c la vitesse du couple linuxNetfilter/squid ... qd c ds le cache ça carbure a donf !! (mieux que le cache interne de ie5, d'ailleurs qd mes postes n'étaitent pas sous une passerelle linux le cache ie on se demande si y marche :D !!!)
 
les schemas ben ...j'ai encore du mal a comprendre:
que fait concretement un paquet qd il arrive sur une interface ?
ppp0 par ex !
 
j'ai du mal a comprendre si les schemas de traitement des tables NAT, FILTER et MANGLE ne sont en fait qu'une seule chaine ou si le paquet IP transite d'abord sur le filter puis ds le schema NAT et enfin ds le schema MANGLE ???
 
 
ce que tu me dits sur netfilter ca veut dire que si j'envoie une demande d'ouverture de session sous un jeux comme age 2 ( donc un envoie de paquet sur a.b.c.c:2300 (port de age)) la reponse du pseudo serveur age 2 du net (c chez un pote) doit obligatoirement me revenir sur le port 2300 sur ma passerelle linux qui va ensuite retraduire pour min ip privée !!! tu es d'accord ?
 
Or ca marche pas ... c la que j'aimerai avoir un outils qui me permet d'ecouter un port et voir le traffic IP ?? tu connais ca ?

Reply

Marsh Posté le 05-12-2001 à 13:23:36    

il ne doit pas forcément revenir sur le même port ( cf cas ftp ) et comme netfilter est statefull il saura que la réponse appartient à telle transaction et donc pourra décider d'accepter ou pas.
http://perso.wanadoo.fr/linux_wiza [...] l#iptables
 
regarde le netfilter hacking howto
 
sur le site de christian le plus intéressant est ceci :
http://christian.caleca.free.fr/netfilter/iptables.htm


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
Reply

Marsh Posté le 05-12-2001 à 15:09:49    

Dark_Schneider a écrit a écrit :

il ne doit pas forcément revenir sur le même port ( cf cas ftp ) et comme netfilter est statefull il saura que la réponse appartient à telle transaction et donc pourra décider d'accepter ou pas.
http://perso.wanadoo.fr/linux_wiza [...] l#iptables
 
regarde le netfilter hacking howto
 
sur le site de christian le plus intéressant est ceci :
http://christian.caleca.free.fr/netfilter/iptables.htm  




 
entre parenthèse c un super site et donc une superbe contrib !!!
 
(nb j'ai deja ses doc !! :d) mais le schema de la chaine de routage ip est  encore floue pour moi !!

Reply

Marsh Posté le 06-12-2001 à 01:53:43    

Je suis un peu dans le même cas que toi, jamiroq, en ce qui concerne Mechwarrior 4 (encore un jeux krosoft, tiens tiens !?!??!!) j'arrive à me connecter au serveur pour voir la liste des parties en cours mais dès que j'essaye d'en joindre une, il me sort que j'ai des prolèmes de réseau et qu'il n'arrive pas à connecter.
 
j'ai également des problème avec le ftp je me connecte à un serveur ca marche mais dès que je fais get un fichier j'obtiens une erreur sur le port 80.
 
Je commence à me poser des questions en ce qui concerne le statefull de iptables.
 
voilà


---------------
* La vitesse de la lumière étant supérieure à celle du son, certaines personnes paraissent brillantes jusqu'à ce qu'elles ouvrent leur gueule. *
Reply

Marsh Posté le 06-12-2001 à 09:39:34    

pouah !!!
 
te plains pas ... car perso j'arrive même pas a voir lA partie en cours que mon pote a créer !!
 
Par contre pour Unreal T ... tout roule !!
Ca a bien l'air d'être un pb de port ?
ou d crosoft :gun:
 
AVIS au PRO du nux : CONNAISEZ VOUS UN OUTILS VISUEL QUI PERMETTENT DE VOIR LES REQUETES tcp/upd QUI ARRIVE SUR LE FIREWALL (interface ethx et pppx)
 
Sous WatchGuard, l'outils s'appelle HostWatch: il  est genial pour debuger une policy de firewall car on voit toutes les requetes qui transitent par linux !! si par ex tel host est train de vouloir passer par le port x , si le firewall drop le paquet ou pas etc ....
 
BREF je VEUX des noms de produit :D

Reply

Marsh Posté le 06-12-2001 à 11:46:12    

jamiroq a écrit a écrit :

Le NAT :
 
2 -  
j'ai lu le how to de christian caelcera (bon doc. !!!) mais par contre j'aimerai que quelqu'un m'indique ou trouver un schema du cheminement des paquets dans la chaine iptables (ou netfilter) la logique !! ... car je melange un peu tout !!
 
voir schéma page http://www.knowplace.org/netfilter/syntax.html  
il est presque complet

 
3 -
toutes ces questions, car hier soi j'ai voulu jouer a Age 2 via le web sur le pc d'un pote qui a l'adsl (et numeris) ... on a fait du unreal tounrament : ok, mais impossible de joindre la partie qu'il avait cree sous age 2 , why ????
 
--Pour les jeux
Si tu connais les ports que ton jeux réseau utilise, il ne devrait pas y avoir de problème.  Si tu ne les connais pas, ajoute une ligne dans ton firewall qui loggue tout ce qui est refusé.  Ensuite il ne te reste plus qu'à autoriser ces ports.
Sinon, "tcpdump -i ppp0" est assez visuel :D

 
Merci a vous tous.
 
De plus  



Reply

Marsh Posté le 06-12-2001 à 12:01:15    

ok !!
ethernal .
 
tcpdump !!
faut que je me le procure je suis pas sure qu'il soit installé en standrard sur ma mandrake 8.1

Reply

Marsh Posté le 06-12-2001 à 12:04:00    

heu... j'déconnais, tcpdump (en général installé par défaut) c'est du mode console... tu vois TOUT ce qui passe par l'interface que tu spécifies.  Le problème c'est que souvent ça va un peu vite pour suivre, donc redirriger vers un fichier est souvent une bonne idée.

 

[edtdd]--Message édité par ethernal--[/edtdd]

Reply

Marsh Posté le 06-12-2001 à 12:04:00   

Reply

Marsh Posté le 06-12-2001 à 13:15:16    

ethernal a écrit a écrit :

heu... j'déconnais, tcpdump (en général installé par défaut) c'est du mode console... tu vois TOUT ce qui passe par l'interface que tu spécifies.  Le problème c'est que souvent ça va un peu vite pour suivre, donc redirriger vers un fichier est souvent une bonne idée.  
 
 




salaud !!! :d
tu le sais que j'ai peur qd c du mode texte d:    d: Raaahh !!!
 
(ps : je vais chercher tous seul pour trouver un realtime network monitor !!)
 
ah oui :
 
je commence a bien capter l'imbrication des tables FILTER, NAT et mangle dans le schema des HOOKs (NF_POST...).
d'ailleurs le schema des hooks est LA representation du transit de la trame (quelque soit l'interface visée !!)

Reply

Marsh Posté le 06-12-2001 à 13:20:53    

:lol:
niark niark niark :D

Reply

Marsh Posté le 06-12-2001 à 13:39:02    

ethereal ou sniffit sont pas mal


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
Reply

Marsh Posté le 06-12-2001 à 16:27:26    

the_fireball a écrit a écrit :

ethereal ou sniffit sont pas mal  




ah ?  qu'entends-je ?
 
tes reponses m'interesse je vais voir les sites , merci !!

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed