Re: Re: lug-bg: --syn != state NEW
- Subject: Re: Re: lug-bg: --syn != state NEW
- From: dgt_it dgt_it <dgt_it@xxxxxx>
- Date: Thu, 6 May 2004 19:45:29 +0300 (EEST)
>-------- Оригинално писмо --------
>От: Ilia Lindov <ilia@xxxxxxxxxxxxxx>
>Относно: Re: lug-bg: --syn != state NEW
>До: lug-bg@xxxxxxxxxxxxxxxxxx
>Изпратено на: Четвъвтък, 2004, Май 6 18:17:03 EEST
>----------------------------------
>
>dgt_it dgt_it wrote:
>> Искам да питам каква е разликата м/у
>>
>> iptables ... --syn ...
>>
>> iptables ... -m state --state NEW ...
>
>Когато имаш --syn можеш да въздействаш само на TCP връзки.
>Докато NEW има влияние върху UDP и ICMP пакети.
Само от тези две изречение ситуацията се изясни 99% :)
>Виж 'Iptables Tutorial' от Oskar Andreasson. Там доста добре е обяснено
>това.
>
Определено ще го направя , защото неразбирам как точно се определя тогава при UDP , ICMP това равнище -> заявка за нова връзка / конекция ,- щом syn бита е само за TCP; но това е май въпрос и повече на протокола и все пак ;) ?!.
>> Защото лично аз не я разбирам нещо ?!. ( и хоутата четох ,и man iptables,но уви неразбрах разликата :( ).
>>
>> --state NEW съответства на всяка НОВА ВРЪЗКА -> дотук ОК !
>>
>> --syn съответства на пакет с вдигнат бит SYN .
>> т.е изисква се синхронизация на пакетите и/или установяване на нова връзка/конекция (?)
>
>Както писах по-горе SYN пакети имаш само при TCP
>
ок - вече ясно :))
>> Всмисъл ще е по правилно
>>
>> iptables -A INPUT -m state --state NEW --syn -j DROP
>
>Тук за да използваш --syn трябва да укажеш че протокола е TCP (-p tcp).
>Тогава обаче --state NEW и --syn става едно и също и се обезмисля
>употребата им заедно.
>
>
също вече ясно ;)
>> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>>
>> (не приемам връзки с вдигнат syn ,но приемам всички останали опити за нова връзка / конекция -> state NEW )
>>
>> или
>>
>> iptables -A INPUT -m state --state NEW -j DROP
>> iptables -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
>> iptabels -A INPUT --syn -j ACCEPT
>
>при положение, че на първия ред DROP-ваш всички NEW пакети, то последния
>ред никога няма да влезе в действие (освен това ти липсва и '-p tcp')
>
Относно "послдения ред ... в действие" ясно , то и аз се усетих , но важен беше смисъла ;) / контекста ...
cut / отрязано /
Добре де , но сега ми възниква въпрос , този пример е от едно голямо tutorial-че или беше howto ( определено ще видя и това , което ти си ми посочил ):
IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Значи , ако съм те разбрал правилно това нещо отгоре би трябвало да прави следното:
1. отговря на всички пакети опитващи се да установят нова връзка/конекция 2. без обаче тези по TCP протокола
3. и ги дропва
( сега се замислих това как ще се преведе на български спрямо действието му вслучея ?!. drop -> пуска :)) , а то е точно обратното , непропуска :)) ).
-----------------------------------------------------------------
http://sport.netinfo.bg - Всичко за спорта!
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|