[iptables] Changer le port d'un conntrack compilé en dur

[webseb]

Bonjour à tous,

J'ai une question à propos d'iptables. Travaillant sur la sécurisation de la Voix sur IP en ce moment au niveau d'une sonde, j'utilise naturellement les conntracks sip (port 5060) et h.323 (port 1720) d'iptables. Ca marche à merveille, mais j'ai le besoin de pouvoir modifier ces ports.

On peut changer ce port quand le conntrack est compilé en modules dans le noyau : Il existe la commande suivante pour charger le conntrack ftp par exemple sur le port 2121 au lieu du 21:

/sbin/modprobe ip_conntrack_ftp port=2121
/sbin/modprobe ip_conntrack_sip port=5075
...

Mon problème est que pour des raisons de performance, mes conntracks sip et H.323 ne sont pas en modules dans le noyau, mais compilé en dur. Exit donc la commande ci-dessus. Je voudrais savoir si il est possible de modifier quand même ces ports et si oui où ? (probablement un fichier lu lors du demarrage de la machine que je n'ai pas trouvé si il existe ).

Dans le cas où une recompilation du noyau est nécessaire à quel endroit apporter la modif ? (surement dans les sources mais j'avoue ne pas encore avoir vraiment cherché espérant que cela ne sera pas nécessaire).

Si quelqu'un ici à un quelconque retour la dessus ou a déjà rencontré ce problème, je lui en serai reconnaissant.

.webseb

[jdh]

Je ne vois pas vraiment où serait l'amélioration d'avoir un source compilé dans le noyau par rapport au même source compilé en module (hors la disponibilité dès le démarrage et hors le temps de chargement du module).

Si amélioration, il y a, elle doit être très minime.

Sinon les paramètres noyau ne se trouvent pas dans /etc/sysctl.conf (pour Debian) ?

[webseb]

Merci pour cette réponse, je vais creuser un peu du coté de sysctl.conf histoire de voir si je pourrais changer mes port à cet endroit.

Sinon si vraiment je trouve pas ça sera module et basta lol

Je suis preneur de toutes infos supplémentaires.