Reprise du message précédent :

 
bon faut que je te pete une table de conntrack pour te prouver que c pas detectable ?
 
la mac adresse de sortie est celle de ton modem adsl rien d'autre mon cher ..et ceux qui me croivent pas on qu'a faire un sniff (tcpdump)
 
..le TTL ...ahah : netfilter peut reajuster le ttl en sortie ..bisous

Un TTL réajusté ca se voit comme le nez au milieu du visage ...
Pis tu fais quoi des numéros de séquences un peu bizarres générés par ta conntrack tables ? ca aussi ca se répère ...

 
numero de sequence ?
 
IP id sequence :
 
The IP ID number is a 16-bit number in the IP header of an IP packet and  
is assigned on an individual packet basis. It is used in support of IP  
fragment reassembly (along with the source and destination IP address  
fields) to identify which fragments are part of the same original packet.  
 
 
je vois pas en quoi ce numero peut aider a savoir si on nat ou pas .....
 
pour moi le NAT ne se detecte pas un reseau masqué est ..masqué !!(c pour ca qu'on l'appelle masqué ; isn't it ?)

 
QoS PAWA /D

 
ouaihp ... a verifier donc .
perso qd je nat c bel et bien ma gateway qui est cliente des paquet s demandé donc elle est ..unique !!c elle ensuite grace a la table conntrack qui defragmente (en fonction de la mtu) et et achemime le paquet a mes ti pc .

la gestion des sessions/entrées dans la conntrack table se fait en très grande partie grace aux nuémros de séquences ... tu as une série différente pour chaque client NATé ayant une connexion à ce moment là ... et tu le retrouves dans les numéros de séquence générés par ta gateway pour envoyer les paquets sur Interpouet ... et ça saute aux yeux ...

Suis content de voir que mon sujet déchaine les passions, meme si c'est un peu trop technique pour moi

kler que ce topic est des plus intéressant.

 
udp      17 28 src=192.168.1.2 dst=192.168.1.50 sport=1032 dport=53 src=192.168.1.50 dst=192.168.1.2 sport=53 dport=1032 use=1
 
udp      17 177 src=192.168.1.2 dst=192.168.1.50 sport=1032 dport=53 src=192.168.1.50 dst=192.168.1.2 sport=53 dport=1032 [ASSURED] use=1  
 
tcp      6 119 SYN_SENT src=140.208.5.62 dst=207.46.230.218 sport=1311 dport=80 [UNREPLIED] src=207.46.230.218 dst=140.208.5.62 sport=80 dport=1311 use=1  
 
tcp      6 57 SYN_RECV src=140.208.5.62 dst=207.46.230.218 sport=1311 dport=80 src=207.46.230.218 dst=140.208.5.62 sport=80 dport=1311 use=1  
 
tcp      6 431995 ESTABLISHED src=140.208.5.62 dst=207.46.230.218 sport=1311 dport=80 src=207.46.230.218 dst=140.208.5.62 sport=80 dport=1311 [ASSURED] use=1
 
voila un exemple de table conntrack netfilter ....
dis moi où tu vois un id qui va te renseigner sur les machines ss la gateway ?
 
perso je capte pas le principe du id ....

Le numéro de séquence ca parait un peu bidon comme moyen de détecter du NAT...

mouaih ...
j'suis un peu de cette avis mais bon , ds ce cas y'a cas peter une ip et on va voir si avec la tech cité on peut choppé le nombre de machine naté ss la gateway ?

 
Je n'ai fait que traduire l'url que j'ai indiqué. C'est à tester donc.
 

 
Je ne pense pas qu'une passerelle NAT s'oqp de re-assembler les paquets.
 
 
Jamiroq : tu peux expliquer a quoi correspondent les différents champ de la table conntrack ?
 
Merci

 
si le NAT implique forcément du réssemblage des paquets fragmenté ...
 
pour les champs du conntrack j'en connais certain ;-)

ben d'apres toi,    
 
si toujours .. a vie apparement !!!
 
mais bon on s'y fait ...
tien au fait ca y'est j'ai un taf et je bosse sur .... mes deux os preferés !!!
 
nunux et win2k , c cool !!

c sympa , merci (ca me manquait un peu (bcp meme) osa ...)

Bon, on va corriger de nombreuses erreures (surtout les miennes).
 
 
Pour faire la translation réseau privé/réseau publique, le NAT se sert d'une table de translation. Lorsque le NAT reçoit un paquet IP de type TCP ou UDP provenant du réseau interne, il crée une entrée dans sa table de type :
 
adr source/port source       nouvel adr source/nouveau port source     adr dest/port dest
 
 
Où adr source/port sources et adr dest/port dest sont les adr IP et num de port indiqués dans le paquet IP. Le nat remplace l'adresse source par sa propre IP (c le principe du NAT) et affecte un numéro de port source unique (qu'il n'a pas deja affecté a une autre transaction, c'est à dire pas présent dans sa table).  
Un exemple :
 
Le NAT recoit un paquet de 10.0.0.2 port 1035 à destination de 193.128.0.1 port 21. Il renvoit le paquet vers 193.128.0.1 port 21 avec comme adresse source la sienne et le port source 60000.
Lorsque le NAT reçoit la réponse de 193.128.0.1 il regarde dans sa table quelle transaction utilise le port 60000 et il transmet le paquet a 10.0.0.2 en modifiant le port dest en 1035.
 
 
Donc le NAT utilise les num de port pour faire sa translation.
 
 
Maintenant ca pose un problème : les protocoles ne reposant pas sur TCP/UDP et ne disposant donc pas de numéro de port. Il s'agit d'ICMP. Dans ce cas, le NAT utilise l'ID de sequence pour établir sa table de translation.
 

...et je dirais meme plus numero de port source des clients NAT AINSI que les autres info !!!! (car si au meme moment, par gros hazard, deux clients attaquent un serveur web port dest 80 (ex.) avec leur port source 3001 par ex. ben faudra bien d'autre info pour reacheminer au bon endroit le paquet retour ..d'ou les info d'ip etc ...):
 
ceux qui font du nunux ici (donc ceux qui disséque et comprennent) ne s'etonneront pas de voir des :
 
ip_conntrack_ftp
 
ip_conntrack_irc
 
ds leur module utile à netfilter
comprendo porqué  ;-) et oui le conntrack ds ce cas est différent mais bien sur supporté !! (donc on peut encore naté EFFIcacement) ... le seul cas ou l'on ne peut naté c en cas de transit de paquet IPSec .... la y'a pas possibilité de naté ..a moins d'avoir une solution de cryptage decryptage temps reel ..c tres cher !!!

 
 
Non, l'adresse IP source et le port source suffisent meme si 2 clients attaquent le meme serveur sur le meme port en meme temps.
 
Ensuite il y a les cas particuliers comme FTP où des adresses IP et des num de port se trouvent dans le payload. Le NAT doit alors modifier ces données également.
 
Les communications cryptées posent également des problèmes.

ouaih exact IP + port source (car tu disais port uniquement ...:d)

euh je suis encore rediriger vers nos amis les teletubies ...

tetedeiench et jamiroq sur le même topic

Non ... ça me parait fort plausible ...
Surtout qd tu connais la façon dont bossent certains outils comme nmap pour repérer "l'empreinte" d'un OS ... ils utilisent en partie l'analyse des numéros de séquence ...

Cé comme dans Gran Turismo ... cé le All Stars tomic ... ^^
 

bon, donc, tjs pas de osa pour moi donc ?