[Linux] [MASQUERADING] Les ports, c'est quoi ?

Antoine Delaporte adlp@::1
Mer 18 Aou 10:39:15 CEST 2021


Le 18/08/2021 à 10:11, Jean-Marc Boursot a écrit :
> Le 2021-08-17 16:14, Antoine Delaporte a écrit :
>>
>> Et en plus j’étais tellement persuadé que ça nattait par défaut
>> "juste" 10000 ports et pas autant...
>
> En NAT dynamique sortant, 10000 c'est beaucoup et peu à la fois. Tant 
> que le NAT est actif, le port utilisé est indisponible et on imagine 
> facilement un réseau qui exploserait les 10000 ports. Même avec 64000 
> ports, sur un gros réseau en V4, il te faudra plusieurs adresses de 
> NAT externe pour multiplier cette limite imposée par les ports.


Oui mais non a mon avis (et la mon propos n'est pas démontré, ou pas 
assez finement)

Et oui, il y a bien une origine a ma question de cet acabi, mais pas 
tant que ça.


IPLan:PSLan => IPDest:PDest


Conntracking table  : IPLan:PSLan|IPDest:PDDest || 
IPSortant:PSSortant|IPDest:PDest

En gros ce que je veux dire c'est et pourquoi ce qui permet de retrouver 
la machine a l’intérieur, c'est oui le PSortant, mais aussi le 
IPDest:PDest (ce n'est donc pas un simplet, mais plutot un triplet a 
mons avis)

Pourquoi je dis ça ?

     * J'ai une infra qui sort par une seule IP bin ca marche partout, 
tout le temps vers l'Internet

     * Mais lorsqu'elle va (attention, on parles de scripting meta 
bourrin) sur l'IP d'une API externe précise, sur laquelle j'ai la main, 
bin je constate que non ca ne va plus, et l'est dans le tcpdump que l'on 
fini par voire "hey mec, ce port source, je l'ai déjà vu y a moins 5 min 
et tu m'avais, BYE)


(depuis, je leur ai fait corriger le script et "ca marche, c'est cool, 
je n'avais jamais vu mon script aller jusqu'au bout"....)


Encore un point.... Daniel, la ligne de masquerading, tel que tu l'a 
poussé, c'est la conf par défaut d'un KVM, c'est propre, et ca met le 
range de port.

Le truc sur lequel je n'ai pas de réponse, c'est lorsque l'on ne précise 
pas, c'est quoi la valeur par défaut.



>
> Amicalement
> JM


Plus d'informations sur la liste de diffusion linux