Le Tue, 4 Oct 2011 15:50:17 +0000, jean durandt a écrit : Bonjour, > > bon le titre est explicite alors entrons dans le vif du sujet sans polémique > sur l'intérêt de cette c. [...] > > Mais quid des connexions entrantes : > le port 80 (http) sert aux serveurs qui répondent sur n'importe quel port au > client, non ?
Une connexion entrante est une nouvelle connexion. Dans le cas où un client demande une page web, il ne s'agit pas d'une nouvelle connexion mais d'un suivi de connexion. Les parefeux sont stateful (parefeux à états): ils assurent le suivi de connexion (https://secure.wikimedia.org/wikipedia/fr/wiki/Pare-feu_%28informatique%29) > > je ne sais pas quelle proposition lui faire pour qu'il ne soit pas inquiété. > j'aimerai une aide car j'avoue ne pas savoir quoi lui conseiller au vu de tout ce qui a été déjà écrit dans ce fil, je peux ajouter quelques trucs pour limiter l'utilisation du p2p que j'ai mis en place chez moi (l'une des caractéristiques du p2p est qu'il génère énormément de connexions): - Autoriser quelques ports en sortie (comme http, https, pop3, smtp, imap, msn, dns) - Limiter les connexions par adresse IP. Pour de la navigation web + messagerie, je limite à 100 connexions par @IP. Je ne sais pas si c'est faisable avec Iptables, mais avec Packet filter (*BSD), ça se fait en deux lignes du type: block quick from <abus> pass quick proto { tcp udp } from any to any $ports_autorises \ (max-src-conn 100, max-src-conn-rate 10/3, \ overload <abus> flush global) ports_autorises={ http https pop3 imap imaps smtp domain } # A compléter selon les besoins max-src-conn: nb de connexions simultanées autorisées par @IP max-src-conn-rate: 10 nouvelles connexions toutes les 3 secondes overload <abus>: l'@IP qui dépasse ces limites est ajoutée à la table <abus> et se trouve dès lors bloquée par la règle précédente (block) flush global: met fin à toutes les connexions. Une entrée dans la crontab pour purger la table régulièrement. Sous Linux, il te faut un script qui détermine le nb d'adresses par hôte. Sur un WRT54G avec OpenWRT, en cas de dépassement, il rebootait. Radical mais efficace! (mais dommage pour les autres utilisateurs, il doit y avoir moyen de faire "plus propre"). Sinon, si tu as un PC disponible, tu peux essayer pfsense (http://www.pfsense.org) qui est une solution très abouti; elle comporte un portail captif, de quoi lutter contre le p2p (les principaux) et est configurable via une interface web. Pfsense est basée sur FreeBSD. Il est possible aussi de combiner avec de la qualité de service en privilégiant certains flux (http) et de mettre un débit de 1Ko pour les autres flux. Ma modeste contribution ;-) -- px -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111007134556.1f1fecf3@lucifer