Iptables : règle installée mais pas par moi

Plus explicatif :
Avec un iptables-save de vérification sur ma Sid, je viens de me rendre compte de la présence d’une règle que je n’ai pas installée personnellement :

-A INPUT -s 212.27.38.253/32 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
Une autre règle, plus classique, n’est pas libellée comme j’ai l’habitude de le faire :

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
habituellement, j’entre cette dernière comme suit :

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

J’ai donc pensé supprimer cette première règle (212.27.38.253/32) et j’ai cherché le N° de ligne mais la réponse a été plus précise. Du coup, je me demande si cette règle doit être laissée en place ou supprimée :

[quote]10 ACCEPT all – freeplayer.freebox.fr anywhere ctstate NEW,RELATED,ESTABLISHED
[/quote]

Les renseignements sur l’IP en question :

General IP Information IP: 212.27.38.253 Decimal: 3558549245 Hostname: freeplayer.freebox.fr ISP: Free SAS Organization: Free SAS Services: None detected Type: Broadband Assignment: Static IP

Une éventuelle comparaison avec d’autres “Freenautes”

Merci d’éclairer ma lanterne.

Alors, deux choses :

1/ le freeplayer.freebox.fr a bien pour ip : 212.27.38.253

amha, si tu as, toi aussi, une Freebox, tu as dû l’implémenter pour discuter avec certains services qu’offre la FreeBox (TV sur ordi, FTP sur Freebox, envoyer du flux vidéo de ton ordi vers ta télé en passant par la Freebox, etc…)

Si ce n’est pas toi qui l’as fait, cela pose problème mais ce qui est sûr c’est que ce n’est pas Free qui s’y amuse !

Ensuite, concernant ces fameuses règles iptables, en soit, il n’y a pas de soucis à utiliser les correspondances ‘Conntrack’ en lieu et place de ‘state’. La première étant une version améliorée de la seconde.

Merci de ta réponse, je suis à moitié rassuré.
Par précaution, j’ai supprimé cette ligne et je n’ai pas vu encore de différences.
Je garde ça sous le coude au cas où il faudrait la replacer.
La première chose qui pourrait justifier ça c’est les videos (films) entreposées dans le DD de la Freebox mais je continue de pouvoir les voir à partir de mon ordi via VLC, malgré la suppression de la ligne.
La seconde qui pourrait aussi avoir un rapport ce sont les enregistrements que je fais à partir de l’ordi via le portail Free/télévision/recatch TV.
Je viens d’enregistrer un doc pour ce soir et il a été apparemment accepté.
Je verrai ce qu’il en est demain.

L’enregistrement s’est bien passé donc cette ligne reste un mystère pour moi.

Depuis les dernières versions d’iptables, la correspondance “state” est devenue un alias de la correspondance “conntrack”. Je suppose qu’un effet est que les règles créées avec “state” sont converties en “conntrack”. Tu peux le vérifier en créant une nouvelle règle avec “state” et en regardant comment elle est affichée par iptables-save.

Quant à la règle pour l’adresse de la freebox, c’est forcément ton script de pare-feu ou une de tes applications qui la crée. Regarde bien partout dans /etc.

[quote=“PascalHambourg”]…
Quant à la règle pour l’adresse de la freebox, c’est forcément ton script de pare-feu ou une de tes applications qui la crée. Regarde bien partout dans /etc.[/quote]
Ça doit être vieux, en effet car je retrouve cette ligne dans une sauvegarde d’iptables-save de 2011.
À l’époque, c’était “…state --state…”.

# Generated by iptables-save v1.4.12 on Sun Nov 20 00:25:51 2011 . . . -A INPUT -s 212.27.38.253/32 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT .
Je suppose un rapport avec ce gestionnaire de fichiers, dont je ne me souviens plus du nom, que j’utilisais avec le FB V5 voire V4 ?

Enfin, je conserve sous le coude mais je n’ai pas eu de problèmes depuis la suppression de cette ligne.
Merci à tous.