iptables et fenêtre TCP

maxhazard · 15/12/2012, 15h35

Bonjour a tous,

Je voudrais avoir une info que je ne trouve pas via Google.

J'ai configuré iptables sur la passerelle de mon réseau.

Je voudrais savoir comment il appréhende les fenêtres de numéros de séquence.
J'ai entendu dire que de nombreux pare-feu utilisent une fenêtre large, appliquée sur toutes les connexions, pour filtrer les segments et améliorer les performances.
Est-ce aussi le cas d'iptables?
Ou, il enregistre les "window scales" des deux interlocuteurs pour chaque connexion?
Ou encore, il ne vérifie rien du tout concernant les numéros de séquence.

Merci à vous.

IP_Steph · 15/12/2012, 20h33

Salut,

la gestion TCP est complètement transparente pour les iptables.

Par défaut, netfilter/iptables travaille en mode "stateless".

Quel est le problème exact que tu voudrais résoudre ?

Steph

maxhazard · 16/12/2012, 21h30

Merci pour ta réponse.

En fait, je lisais un papier sur les pare-feu situés à l'entrée d'un réseau privé (par exemple).
Il semblerait que de plus en plus d'entre eux filtrent les segments en utilisant
une fenêtre ( grande ) pour toutes les connexions.
Ca pose des soucis de sécurité et je voulais voir ça de plus près.
Pour faire l'expérience, j'ai besoin d'un pare-feu qui agit de cette façon.
Je voulais savoir si iptables pourrait fait l'affaire.

La gestion des états comme related, established, new n'est pas importante donc dans mon cas (amha).

Tout ce dont j'ai besoin, c'est d'un parefeu qui enregistre les num de sequence lors de la poignée de main et qui vérifie que les segments suivant appartiennent à un intervalle définit par le numero de séquence actualisé et une fenêtre qu'il a décidé arbitrairement (ou que l'on configure soi-même).

15/12/2012, 15h35	#1
maxhazard Membre du Club Inscription : janvier 2010 Messages : 120 Détails du profil Informations forums : Inscription : janvier 2010 Messages : 120 Points : 42 Points : 42	iptables et fenêtre TCP Bonjour a tous, Je voudrais avoir une info que je ne trouve pas via Google. J'ai configuré iptables sur la passerelle de mon réseau. Je voudrais savoir comment il appréhende les fenêtres de numéros de séquence. J'ai entendu dire que de nombreux pare-feu utilisent une fenêtre large, appliquée sur toutes les connexions, pour filtrer les segments et améliorer les performances. Est-ce aussi le cas d'iptables? Ou, il enregistre les "window scales" des deux interlocuteurs pour chaque connexion? Ou encore, il ne vérifie rien du tout concernant les numéros de séquence. Merci à vous.
	00

15/12/2012, 20h33	#2
IP_Steph Modérateur Steph Architecte réseau Inscription : février 2012 Messages : 1 282 Détails du profil Informations personnelles : Nom : Steph Localisation : France Informations professionnelles : Activité : Architecte réseau Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : février 2012 Messages : 1 282 Points : 2 716 Points : 2 716	Salut, la gestion TCP est complètement transparente pour les iptables. Par défaut, netfilter/iptables travaille en mode "stateless". Quel est le problème exact que tu voudrais résoudre ? Steph __________________ "#define QUESTION ((bb) \|\| !(bb))" - Shakespeare
	00

16/12/2012, 21h30	#3
maxhazard Membre du Club Inscription : janvier 2010 Messages : 120 Détails du profil Informations forums : Inscription : janvier 2010 Messages : 120 Points : 42 Points : 42	Merci pour ta réponse. En fait, je lisais un papier sur les pare-feu situés à l'entrée d'un réseau privé (par exemple). Il semblerait que de plus en plus d'entre eux filtrent les segments en utilisant une fenêtre ( grande ) pour toutes les connexions. Ca pose des soucis de sécurité et je voulais voir ça de plus près. Pour faire l'expérience, j'ai besoin d'un pare-feu qui agit de cette façon. Je voulais savoir si iptables pourrait fait l'affaire. La gestion des états comme related, established, new n'est pas importante donc dans mon cas (amha). Tout ce dont j'ai besoin, c'est d'un parefeu qui enregistre les num de sequence lors de la poignée de main et qui vérifie que les segments suivant appartiennent à un intervalle définit par le numero de séquence actualisé et une fenêtre qu'il a décidé arbitrairement (ou que l'on configure soi-même).
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email