[Admin-ml] Gateway

Olivier DUCROT odlists at easymac.fr
Mer 7 Oct 21:14:20 CEST 2009


Je n'ai pas fini ma phrase .. En fait, je n'ai même pas terminé mon mail, je
l'ai posté par erreur ce matin alors qu'il était en cours de rédaction,
plusieurs fois modifié, tromqué, réécris.. I'm so sorry.

Tu as raison de préciser pour keep-state, je n'ai pas voulu prendre le temps
de le faire, ça sortait du cadre de la demande d'origine.

Je voulais montrer que l'origine des problèmes exposés étaient sans doute
dans les règles complexes du Firewall que dans la mise en ¦uvre du NAT.

Le firewall mériterait un article approfondis à lui seul !

le 07/10/09 11:22, Proniewski Patrick à patrick.proniewski at univ-lyon2.fr a
écrit :

> On 7 oct. 09, at 11:02, Olivier DUCROT wrote:
> 
>> 12300 allow tcp from any to any established
> ...
>> 12304 allow tcp from any to any dst-port 53 out keep-state
> 
> 
>> La règle 12300 est importante. Ici elle accepte tout le trafic. Par
>> défaut,
>> c'est l'inverse,
> 
> 
> l'inverse de quoi ? Cette règle 12300 n'accepte pas tout. Elle
> autorise tout le traffic pour le quel un paquet est déjà passé. IPFW
> fonctionne en mode "statefull", c'est à dire qu'il peut garder en
> mémoire une table des connexions actives si on le lui demande (mot clé
> "keep-state" de ta règle 12304 par exemple).
> Les règles sont examinées une à une. À l'ouverture de la première
> connexion TCP vers un serveur DNS, ton paquet est examiné, et IPFW
> voit qu'il correspond à la règle 12304. Le keep-state dit à IPFW de
> garder la trace de la connexion.
> Le serveur DNS envoie sa réponse, le paquet correspond à une connexion
> présente dans la table d'états du firewall, la règle 12300 est
> appliquée, le client reçoit la réponse.
> 
> 
> Patrick PRONIEWSKI

La théorie, c¹est quand on sait tout mais que rien ne marche
La pratique, c¹est quand tout marche mais qu¹on ne sait pas pas pourquoi
Et l¹informatique, c¹est l¹union de la théorie et de la pratique : rien ne
marche et on sait pas pourquoi

         _________________________________________________________
         |                                                       |  
         |                                                       |  
      / )|                    Olivier DUCROT                     |( \
     / / |               ACSP, ACTC & ACSA 10.5                  | \ \
   _( (_ |                                                       | _) )_
  (((\ \>|_/->_______________________________________________<-\_|</ /)))
  (\\\\ \_/ /                                                 \ \_/ ////)
   \       /                                                   \       /
    \    _/                -----====+====------                 \_    /
    /   /                                                        \   \  
  






Plus d'informations sur la liste de diffusion Admin-ml