TCP et Port source sous linux

TCP et Port source sous linux - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 18-01-2005 à 10:29:28    

Bonjour,
on utilise dans ma boite des stations Neoware qui tournent sous une version retravaillé de Red Hat. Elles nous servent à se connecter à des serveurs UNIX ou METAFRAME.
 
Ma question, c'est de savoir comment je pourrais modifier le port source de mes connexions TCP ??
En effet, ces stations se connectent toujours avec le port 1024 lors de la 1ere connexion, puis elles augmentent de 1 à chaque fois.
Or, lors de coupures réseau, mon firewall garde en mémoire la connexion, ce qui génère des soucis de temps en temps. Je voudrais doncmodifier un paramêtre afin que le station se connecte avec un numéro de port aléatoire.
Est-ce que c'est possible ?!
 
Du côté de Neoware, je n'ai rien trouvé pour l'instant. Nous utilisons des station Axel, et le changement de ce paramêtre est possible, je ne perd donc pas espoir !!
 
 :hello:

Reply

Marsh Posté le 18-01-2005 à 10:29:28   

Reply

Marsh Posté le 18-01-2005 à 10:38:17    

Il me semble que en utilisant un noyau patché grsecurity l'option est présente. C'est à confirmer mais il me semble avoir vu ça :)

Reply

Marsh Posté le 19-01-2005 à 07:35:19    

D'autres infos ?!

Reply

Marsh Posté le 19-01-2005 à 08:18:00    

C'est quoi comme fw ?   y'a pas un timeout sur le suivi de connection ?


Message édité par Zzozo le 19-01-2005 à 08:18:13

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 19-01-2005 à 09:57:30    

C'est un firewall Arkoon A500.
Il garde en mémoire 24H.
 
Mais bon, du côté d'Arkoon, ils font valoir le fait que les RFC préconisent d'utiliser un port source aléatoire... C'est pour ça que je cherche du côté de mes stations.


Message édité par nikko le 19-01-2005 à 09:57:58
Reply

Marsh Posté le 19-01-2005 à 09:59:59    

nikko a écrit :

C'est un firewall Arkoon A500.
Il garde en mémoire 24H.
 
Mais bon, du côté d'Arkoon, ils font valoir le fait que les RFC préconisent d'utiliser un port source aléatoire... C'est pour ça que je cherche du côté de mes stations.


Il garde l'état d'une connection en mémoire pendant 24h ? [:wam]
Mais c'est d'une stupidité sans nom pour un firewall stateful, voire c'est même très grave [:mlc]  :pfff:


Message édité par Zzozo le 19-01-2005 à 10:01:18

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Marsh Posté le 19-01-2005 à 10:25:36    

Je vois pas trop en quoi c'est très grave !!!
Ca dépend de la connexion : certaines durent même plus longtemp.
Mais je suis preneur de plus d'explication sur ce point là.
 

Reply

Marsh Posté le 20-01-2005 à 11:31:20    

Bon, j'ai trouvé un paramêtre qui permet de changer la plage des ports sources :
/proc/sys/net/ipv4/ip_local_port_range
 
http://www.seifried.org/security/o [...] avior.html
 
Mais cela ne permet pas de définir le choix du port à aléatoire, et surtout, je n'ai pas retrouvé ce paramêtre sur mes stations Neoware...


Message édité par nikko le 20-01-2005 à 11:31:38
Reply

Marsh Posté le 21-01-2005 à 08:48:37    

Personne pour m'aider ?!

Reply

Marsh Posté le 21-01-2005 à 09:24:22    

nikko a écrit :

Je vois pas trop en quoi c'est très grave !!!
Ca dépend de la connexion : certaines durent même plus longtemp.
Mais je suis preneur de plus d'explication sur ce point là.


Nan mais si la connexio existe toujours, ok c'est bormal que le fw la garde dans son système de connection tracking (heureusement, pour un  fw stateful [:ddr555])
Là où c'est moins normal à mon sens, c'est si le fw voit toujours une connexion entre deux "endpooints" là où il n'y en a plus (à cause d'un tiemout bizarre) ...


---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed