Dans son message du 27/11/2001, Amaury Amblard-Ladurantie écrivait: > Bonjour > > Je dispose @ home d'une machine patatée utilisant un noyau 2.4 (compilé grâce > à vos judicieux conseils concernant make-kpkg) et IPtables/netfilter. > > La question que je me pose est la suivante : existe t il un moyen de demander > > à IPtables de passer le paquet à un programme quelconque ? Le truc que je > veux faire consiste à droper 99% des paquets (tous sauf sshd, en fait), mais > je ne veux pas perdre une trace de ces paquets ni les logger "bêtement" comme > peut le faire IPtables.
Oui, il semble y avoir un moyen (mais je ne l'ai pour l'instant pas essaye moi-meme): Iptables definit une cible "QUEUE", en plus des habituels ACCEPT, DROP, etc. Cette cible a pour effet de passer le paquet a une application en userspace, via un module (ip_queue je crois). Elle doit etre utilisee selon la methode definie dans le HOWTO: http://netfilter.samba.org/FAQ/fr/netfilter-faq-4.html Le probleme, c'est que le format de sortie de ce module n'est pas le format "pcap" utilise par snort, tcpdump et autres. Heureusement, y'a deja quelqu'un qui s'est rendu compte du probleme, et qui a ecrit une interface entre les deux. Je ne sais pas comment ca s'utilise, mais ca a l'air de correspondre assez bien a ce que vous cherchez: http://www.speakeasy.org/~roux/dmn/pdumpq/ Et je suis preneur d'infos quant a l'utilisabilite du truc ! :-) Cordialement, Bruno -- -- Service Hydrographique et Oceanographique de la Marine --- EPSHOM/INF -- 13, rue du Chatellier --- BP 30316 --- 29603 Brest Cedex, FRANCE -- Phone: +33 2 98 22 17 49 --- Email: [EMAIL PROTECTED]
