[Linux] [MASQUERADING] Les ports, c'est quoi ?
Daniel Huhardeaux
daniel.huhardeaux@::1
Mer 18 Aou 11:02:54 CEST 2021
Bonjour
Le 18/08/2021 à 10:39, Antoine Delaporte a écrit :
>
> Le 18/08/2021 à 10:11, Jean-Marc Boursot a écrit :
>> Le 2021-08-17 16:14, Antoine Delaporte a écrit :
>>>
>>> Et en plus j’étais tellement persuadé que ça nattait par défaut
>>> "juste" 10000 ports et pas autant...
>>
>> En NAT dynamique sortant, 10000 c'est beaucoup et peu à la fois. Tant
>> que le NAT est actif, le port utilisé est indisponible et on imagine
>> facilement un réseau qui exploserait les 10000 ports. Même avec 64000
>> ports, sur un gros réseau en V4, il te faudra plusieurs adresses de
>> NAT externe pour multiplier cette limite imposée par les ports.
>
>
> Oui mais non a mon avis (et la mon propos n'est pas démontré, ou pas
> assez finement)
>
> Et oui, il y a bien une origine a ma question de cet acabi, mais pas
> tant que ça.
>
>
> IPLan:PSLan => IPDest:PDest
>
>
> Conntracking table : IPLan:PSLan|IPDest:PDDest ||
> IPSortant:PSSortant|IPDest:PDest
>
> En gros ce que je veux dire c'est et pourquoi ce qui permet de
> retrouver la machine a l’intérieur, c'est oui le PSortant, mais aussi
> le IPDest:PDest (ce n'est donc pas un simplet, mais plutot un triplet
> a mons avis)
>
> Pourquoi je dis ça ?
>
> * J'ai une infra qui sort par une seule IP bin ca marche partout,
> tout le temps vers l'Internet
>
> * Mais lorsqu'elle va (attention, on parles de scripting meta
> bourrin) sur l'IP d'une API externe précise, sur laquelle j'ai la
> main, bin je constate que non ca ne va plus, et l'est dans le tcpdump
> que l'on fini par voire "hey mec, ce port source, je l'ai déjà vu y a
> moins 5 min et tu m'avais, BYE)
>
>
> (depuis, je leur ai fait corriger le script et "ca marche, c'est cool,
> je n'avais jamais vu mon script aller jusqu'au bout"....)
>
>
> Encore un point.... Daniel, la ligne de masquerading, tel que tu l'a
> poussé, c'est la conf par défaut d'un KVM, c'est propre, et ca met le
> range de port.
>
> Le truc sur lequel je n'ai pas de réponse, c'est lorsque l'on ne
> précise pas, c'est quoi la valeur par défaut.
Pour moi il n'y en a pas et le choix du port se fait en fonction d'une
table interne des ports en cours d'utilisation ou d'une demande. Je
m'explique:
. j'ai un serveur Asterisk qui tourne, port 5060 et range RTP
10000-20000 (valeurs par défaut). Le serveur je peux le faire tourner en
UDP, TCP, TLS ... Si donc le masquerading se faisait sur le port 5060,
pas possible. Ni d'ailleurs sur les ports RTP.
. si je prends un poste IP SNOM il sort systematiquement avec le port
2048 comme port source de l'IP publique.
>>
>> Amicalement
>> JM
Plus d'informations sur la liste de diffusion linux