Bonjour,
 
il y a quoi comme technique pour couper toutes les connexions réseaux existantes (established) sur un linux/debian (de manière propre bien sur).
J'ai vu qu'il existait cutter mais je trouve ca un brin bourrin et ne marche pas tout le temps.
Je pensais qu'avec un ifconfig eth0 down/ifdown eth0 les connections relatives à eth0 soient coupées mais non
 
Le but étant qu'à l'installation de mes règles iptables toutes les connexions existantes soient jartées.
Si d'autres solutions existes, je suis preneur
 
merci

si tu fais lsof -i | fgrep "TCP" | fgrep  ESTABLISHED | awk '{print $2}'
tu as les différents PID des programmes avec des connexions établies -> kill

Et pour les process qui ne s'exécutent pas sur le firewall, tu fais comment
ie: forwarding

ah je n'y avais pas pensé
Avec iptables et conntrack tu devrais pouvoir filtrer les paquets d'une connexion puis de les dropper.

De manière plus claires:
 
Soit un firewall qui sert de "gateway" et qui protège un LAN. la connexion à internet se fait par une liaison ethernet donc pas de ppp...
 
Je cherche à flusher toutes les connections existantes (/proc/net/ip_conntrack) lorsque j'installe de nouvelle règles iptables.

tcpkill

Ouai mais ca risque d'être lourd

 
C'est le même principe que cutter, c'est pas propre

Si tu bloques tout le traffic pendant un certain temps (dépend de la valeur du timeout du socket), les connexions devraient passer de ESTABLISHED à CLOSE_WAIT

par défaut le timeout est de 5 minutes
J'ai pas trop envie de couper tous les acces pendant 5 minutes

doit bien y avoir une valeur à modifier dans /proc/sys/net/ipv4/

C'est la méthode la moins bourrine puisque tu ne peux pas communiquer directement avec les programmes (signal terminate).

la seule solution "correcte" que j'ai c'est de mettre une regle iptables qui matche sur l'état NEW,ESTABLISHED,RELATED pour chaque port que j'ouvre. Du coup quand j'enleve cette regle le trafic est bien coupé. Mais ca surcharge, a chaque fois tous les packets se bouffe une bonne partie des regles avant de matcher.
 
Je prefere mettre une regle ESTABLISHED/RELATED au début.

en /proc/sys/net/ipv4/tcp_fin_timeout peut être ?

plutôt tcp_keepalive_time, tu coupes tout le traffic est tu mets la variable à 1.
 http://maconlinux.net/linux-man-pages/fr/tcp.7.html

tout est expliqué là, dans les sources du kernel :
 
Documentation/networking/ip-sysctl.txt

Si on est obligé de taper dans /proc/ je pencherais plutot pour les variables dans /proc/sys/net/ipv4/netfilter

tu penses à "ip_conntrack_tcp_timeout_established" ?

entre autres. Mais ca marche pas

Tes connexions passent d'established à close_wait ?

non
En fait, apres quelques recherches dans les newsgroups il faudrait décharger les modules de conntrack et les reloader. Ce qui aurait pour effet de flusher les tables.
https://lists.netfilter.org/piperma [...] 57691.html
 
edit: et ca marche