[Linux] [MASQUERADING] Les ports, c'est quoi ?

Antoine Delaporte adlp@::1
Mer 18 Aou 14:55:41 CEST 2021


Le 18/08/2021 à 11:02, Daniel Huhardeaux a écrit :
> Bonjour
>
> Le 18/08/2021 à 10:39, Antoine Delaporte a écrit :
>>
>> Le 18/08/2021 à 10:11, Jean-Marc Boursot a écrit :
>>> Le 2021-08-17 16:14, Antoine Delaporte a écrit :
>>>>
>>>> Et en plus j’étais tellement persuadé que ça nattait par défaut
>>>> "juste" 10000 ports et pas autant...
>>>
>>> En NAT dynamique sortant, 10000 c'est beaucoup et peu à la fois. 
>>> Tant que le NAT est actif, le port utilisé est indisponible et on 
>>> imagine facilement un réseau qui exploserait les 10000 ports. Même 
>>> avec 64000 ports, sur un gros réseau en V4, il te faudra plusieurs 
>>> adresses de NAT externe pour multiplier cette limite imposée par les 
>>> ports.
>>
>>
>> Oui mais non a mon avis (et la mon propos n'est pas démontré, ou pas 
>> assez finement)
>>
>> Et oui, il y a bien une origine a ma question de cet acabi, mais pas 
>> tant que ça.
>>
>>
>> IPLan:PSLan => IPDest:PDest
>>
>>
>> Conntracking table  : IPLan:PSLan|IPDest:PDDest || 
>> IPSortant:PSSortant|IPDest:PDest
>>
>> En gros ce que je veux dire c'est et pourquoi ce qui permet de 
>> retrouver la machine a l’intérieur, c'est oui le PSortant, mais aussi 
>> le IPDest:PDest (ce n'est donc pas un simplet, mais plutot un triplet 
>> a mons avis)
>>
>> Pourquoi je dis ça ?
>>
>>     * J'ai une infra qui sort par une seule IP bin ca marche partout, 
>> tout le temps vers l'Internet
>>
>>     * Mais lorsqu'elle va (attention, on parles de scripting meta 
>> bourrin) sur l'IP d'une API externe précise, sur laquelle j'ai la 
>> main, bin je constate que non ca ne va plus, et l'est dans le tcpdump 
>> que l'on fini par voire "hey mec, ce port source, je l'ai déjà vu y a 
>> moins 5 min et tu m'avais, BYE)
>>
>>
>> (depuis, je leur ai fait corriger le script et "ca marche, c'est 
>> cool, je n'avais jamais vu mon script aller jusqu'au bout"....)
>>
>>
>> Encore un point.... Daniel, la ligne de masquerading, tel que tu l'a 
>> poussé, c'est la conf par défaut d'un KVM, c'est propre, et ca met le 
>> range de port.
>>
>> Le truc sur lequel je n'ai pas de réponse, c'est lorsque l'on ne 
>> précise pas, c'est quoi la valeur par défaut.
>
> Pour moi il n'y en a pas et le choix du port se fait en fonction d'une 
> table interne des ports en cours d'utilisation ou d'une demande. Je 
> m'explique:
>
> . j'ai un serveur Asterisk qui tourne, port 5060 et range RTP 
> 10000-20000 (valeurs par défaut). Le serveur je peux le faire tourner 
> en UDP, TCP, TLS ... Si donc le masquerading se faisait sur le port 
> 5060, pas possible. Ni d'ailleurs sur les ports RTP.

TLS c'est posé sur le TCP ou l'UDP, bon je reconnais qu'a part le TCP et 
l'UDP je connais mal la couche 4 (Transport).... :P


> . si je prends un poste IP SNOM il sort systematiquement avec le port 
> 2048 comme port source de l'IP publique.

Bon, ca c'est plus sérieux, on tape dans mon acculturation : Selon une 
légende que j'ai entendu (ie, jamais pris le temps de regarder, ni 
comprendre comment ça marche) mais il existerais un mécanisme qui 
permettrais a un équipement Internet de se faire natter a l’extérieur 
sur un port particulier. Cela me dérange bcp intellectuellement (coté 
sécu c'est pas GG, c'est plutôt LéGé, pour LaGaffe Gaston)

Donc si quelqu'un un jour s'ennuie, je ne suis pas contre un bon pointeur.


'Toine.




Plus d'informations sur la liste de diffusion linux