iptables : commente faire du suivi de connections udp ?

iptables : commente faire du suivi de connections udp ? - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 01-10-2003 à 19:25:08    

est-ce que c'est possible ? ( ou du  pseudo suivi)
 
dans le cas de la résolution de noms netbios j'ai besoin de pouvoir le faire
 

18:03:45.719275 alizee.rezo.32798 > 10.1.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST (DF)
18:03:45.719772 10.1.116.1.netbios-ns > alizee.rezo.32798: NBT UDP PACKET(137): QUERY; POSITIVE; RESPONSE; UNICAST


Message édité par farib le 04-10-2003 à 00:25:11

---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 01-10-2003 à 19:25:08   

Reply

Marsh Posté le 03-10-2003 à 21:35:57    

iptables est un firewall stateful et est donc capable de gerer le suivi de connection aussi bien sur le TCP que sur l'UDP
 
donc la reponse a ta question:
"est-ce que c'est possible ?"
 
je repond oui ;)

Reply

Marsh Posté le 03-10-2003 à 22:24:54    

bah d'autres disent qu'avec udp justement c pas possible !
(pake dans udp, pas de notion de suivi de connection)
 
comment qu'on fait

Reply

Marsh Posté le 03-10-2003 à 22:36:29    

farib a écrit :

bah d'autres disent qu'avec udp justement c pas possible !
(pake dans udp, pas de notion de suivi de connection)
 
comment qu'on fait


iptables/netfilter y arrive malgré tout ... il utilise pas les même techniques que pour TCP, stout ... :o

Reply

Marsh Posté le 03-10-2003 à 23:13:43    

oui pour l udp il ne peut pas se baser sur les flags des paquets comme pour le tcp mais il a une base ou il ecrit les connections etablies et cela lui permet de savoir si un paquet qui arrive est en relation a une connection deja etablie et ainsi d accepter cette reponse qui est identifier en tant qu' ESTABLISHED
 
c'est valable pour l icmp et d autre protocole...
 
si tu veut plus d infos:
http://www.jollycom.ca/iptables-tu [...] ONNECTIONS


Message édité par djtoz le 03-10-2003 à 23:19:33
Reply

Marsh Posté le 04-10-2003 à 00:24:59    

certes, mais comment je fais dans mon cas ?

Reply

Marsh Posté le 04-10-2003 à 10:54:01    

farib a écrit :

certes, mais comment je fais dans mon cas ?


 
bon je suppose que le firewall est sur la machine alizee.rezo
 
dans c cas tu peut essayer ca:
 
iptables -A OUTPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --sport 137 -m state --state ESTABLISHED,RELATED -j ACCEPT

Reply

Marsh Posté le 04-10-2003 à 12:12:25    

faut pas le -m state --state NEW pour démarrer le fameux suivi de connex ? (c'est bien avec cette cible qu'il range les connex dans sa table non ?)

Reply

Marsh Posté le 04-10-2003 à 12:33:40    

en tout cas le module de webmin pour iptables est bien sympa :)


Message édité par udok le 04-10-2003 à 12:50:42
Reply

Marsh Posté le 04-10-2003 à 13:11:21    

djtoz a écrit :


 
bon je suppose que le firewall est sur la machine alizee.rezo
 
dans c cas tu peut essayer ca:
 
iptables -A OUTPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p udp --sport 137 -m state --state ESTABLISHED,RELATED -j ACCEPT


 
j'ai déja cette regle en général, sans -p udp....

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed