Re: [P2P & iptables]

トップ ページ

このメッセージに返信
著者: Nicolas Rougnon-Glasson
日付:  
To: Guilde liste
題目: Re: [P2P & iptables]
Olivier Allard-Jacquin a écrit :
>     Tu indiques que tu acceptes des connexions entrantes, c'est très 
> bien (enfin, pour résoudre ce problème la. Pour le reste, c'est autre 
> chose... :=)). Mais, les réponses de ta machine elles passent comment ? 
> Il n'y a ici que des règles en INPUT, et donc ton Nerfilter va bloquer 
> les paquets envoyés en réponse, et ceux-ci vont se retrouver dans ton 
> log... :=)



J'aurais volontier dit que les reponses de ma machine etaient autorisees
par cette regle, sans qu'il soit besoin de faire usage du suivi de
connexion:

iptables -t filter -A OUTPUT -o $WAN_INTERFACE -s $WAN_IP -d 
$WAN_NETWORK -p all -m state --state ! INVALID           -j ACCEPT



>     Tu remarques que j'ai fusionné certaines règles de tes P2P, en 
> utilisant une virgule (",") dans le "--sport" et "--dport", afin de 
> limiter le nombre de règles (a toi de rajouter les autres ports pour les 
> autres P2P). Ainsi, ton netfilter sera un peu plus réactif, et ta 
> connexion un poil optimlisé. L'inconvéniant, c'est que dans tes states 
> ("iptables -L -n -v") tu ne verras plus la séparation entre le volume 
> échangés pour chaque soft de P2P. Mais est-ce que tu utilses déjà cette 
> informations ?



C'est pas grave si les statistiques ne font pas la différence entre les
différents réseaux P2P... Je ne me doutais pas que regrouper les règles
ipatables puisse améliorer les perfomances de netfiter. La différence
est-elle significative ?


>     Par contre, tu parles de paquets ICMP. Cela est à mon avis un autre 
> problème. Je ne connais pas spécialement les softs de P2P, tant serveurs 
> que client, mais je ne vois pas de raison pour que les clients P2P 
> utilisent de l'ICMP dans leurs connexions. Pour moi, un soft n'a pas 
> besoin de faire un ping. Tu peux si tu veux accepter de répondre aux 
> ping (voir mon script "netfilter_cfg" pour cela), mais ce n'est, à mon 
> avis, pas nécéssaire.



Comme je l'ai précisé dans un autre mail, ce sont des paquets ICMP3
(host unreachable) en réponse à des paquets que ma machine a émis
précédemment. Jusque là, rien d'anormal, et les paquets ICMP3 entrants
devraient passer sans problème mon firewall.
La plupart de ces paquets sont des reponses à des paquets que ma machine
a émis vers des IP de LAN (192.168.x.y). Interdire tout trafic venant
d'internet avec un champ SRC=192.168.x.y, devrait resoudre ce problème,
non ?


>     Dernière remarque au passage : Vu le nombre de softs qui tournent en 
> temps que serveur dessus, ta machine peut-être une cible de choix pour 
> toute intrusion réseau. J'espère pour toi que chacun de tes softs de P2P 
> tournent sur le compte d'un utilisateur bien distinct, et dans un chroot 
> quand s'est possible... Sinon, et bien... il faut avoir confiance dans 
> la qualité des developpements !!! ;=)



C'est un seul programme qui sert tous ces réseaux P2P : mldonkey.
Mldonkey est effectivement lancé sous un compte utilisateur spécifique,
et en chroot. Le paquetage Debian pour mldonkey est bien fait, pour ça. :-)

A+
Nicolas.