Discussion :

[feuilleton]

Bonjour,

Quelqu'un sait il comment paramétrer le kernel linux (au travers d'un fichier dans un des sous répertoire de de /proc) afin d'autoriser le noyau à accepter une connexion TCP entrante (SYN) avec un port source inférieur à 1024.

Sur mon PC, tout paquet TCP entrant avec flag SYN pour établir une connexion, et dont le port source est < 1024 est purement et simplement détruit, et n'apparait même pas dans wireshark.

[Obsidian]

Hello,

Quelqu'un sait il comment paramétrer le kernel linux (au travers d'un fichier dans un des sous répertoire de de /proc) afin d'autoriser le noyau à accepter une connexion TCP entrante (SYN) avec un port source inférieur à 1024.

Pourquoi spécialement dans /proc ?

De toutes façons, recevoir du trafic sur des ports inférieurs à 1024 fait partie du comportement normal d'un réseau TCP/IP. La seule chose qui soit nécessaire dans ce cas précis est être super-utilisateur (root) pour pouvoir s'y mettre à l'écoute.

Sur mon PC, tout paquet TCP entrant avec flag SYN pour établir une connexion, et dont le port source est < 1024 est purement et simplement détruit, et n'apparait même pas dans wireshark.

Si tes paquets sont ignorés par défaut, c'est plutôt du côté de iptables qu'il faudrait regarder. Il y a de fortes chances pour que ton filtre soit paramétré par défaut par ta distrib'

[Invité]

De toutes façons, recevoir du trafic sur des ports inférieurs à 1024 fait partie du comportement normal d'un réseau TCP/IP.

Exact mais feuilleton parlait de port TCP source...

Il y a une volée de RFC (dernière en date RFC6335) qui suggèrent que le port source TCP d'un paquet SYN devrait être inférieur à 1023 et ça semble être la pratique courante (c'est un SHOULD et pas encore un MUST dans les RFC).

Ceci dit, je suis d'accord avec toi. Si de tels paquets sont droppés, c'est que c'est "codé" quelque part, au travers d'iptables probablement. Par défaut, un noyau Unix accepte tout paquet SYN entrant, quel que soit le port TCP source.

Je viens de faire le test sur ma plateforme Linux en lui lançant une SYN Flood Attack avec des ports sources inférieurs à 1023. J'avais viré toutes mes iptables. Et ça a super bien marché

Que donne un 'iptables -L -n' ?

Steph

[Obsidian]

Exact mais feuilleton parlait de port TCP source...

Oups ! Bien vu. Je suis passé à côté de ce détail.

Il y a une volée de RFC (dernière en date RFC6335) qui suggèrent que le port source TCP d'un paquet SYN devrait être inférieur à 1023 et ça semble être la pratique courante (c'est un SHOULD et pas encore un MUST dans les RFC).

Tu peux détailler ? « Inférieur » ? Il me semble qu'une connexion TCP conserve ses ports source et destination tout au long de son existence, qu'une application qui démarre une connexion est généralement un client, et que celui-ci est lui-même habituellement une application utilisateur, donc au dessus de 1024…

[Invité]

Oooops !

Oui, bien sûr, je voulais dire que le port source TCP devrait être supérieur à 1024. Ma langue a fourché

Grand temps qu'j'me couche

Steph

[feuilleton]

Je remercie les différents interlocuteurs de leur suggestions, j'ai finalement trouvé la réponse, en utilisant un cable en direct entre 2 PC.
En effet dans ce cas tout fonctionne bien!
Le problème provient de mon switch un GS108E dont la version de firmware est 1.00.04.
En cherchant sur internet, j'ai trouvé qu'il fallait passé au minimum en version 1.00.06 pour résoudre des problèmes de nfs sous Linux, correspondant typiquement à mon soucis initial, dont mes investigations avait abouti au problème de port < 1024.
J'ai donc effectué non sans mal la mise à jour du firmware, et tout est rentré dans l'ordre.