Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: --syn != state NEW

Subject: Re: lug-bg: --syn != state NEW
From: Ilia Lindov <ilia@xxxxxxxxxxxxxx>
Date: Thu, 06 May 2004 21:16:39 +0300

Смятам че знаеш, че по принцип при UDP и ICMP не се осъществява т.нар.'връзка', т.е. хостовете пращат пакети, без да ги интересува и без даполучават информация затова дали са пакетите са пристигнали, дали сацели, без грешки и т.н.Iptables обаче има методи, по които следи разните UDP и ICMP пакети и набаза на различни показатели (посоки на движение на пакетите между двахоста, следи 'от' и 'до' портовете, времена на евентуални отговори) иопределя дали даден UDP или ICMP пакет пристига като отговор напредходен или не. Та по такъв начин 'iptables' работи сNEW,ESTABLISHED,RELATED състоянията при UDP и ICMP. Пък при TCP всичкоси е точно документирано по отношение на връзките :).

Добре де , но сега ми възниква въпрос , този пример е от едно голямо tutorial-че или беше howto ( определено ще видя и това , което ти си ми посочил ):

IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Значи , ако съм те разбрал правилно това нещо отгоре би трябвало да прави следното:
1. отговря на всички пакети опитващи се да установят нова връзка/конекция 2. без обаче тези по TCP протокола3. и ги дропва


Виж следната ситуация:

Пристига TCP пакет, който не принадлежи на никоя от връзките, коитоiptables следи и освен това SYN флагът му не е зададен. Ако нямашгорното правило, този пакет ще премине през firewall-а, тъй като това нее нова връзка (според това, че няма SYN флаг), но може пък евентуално дае от ESTABLISHED връзка на друг firewall (ако например имаш повече отедин в мрежата си). Това пропускане на пакета, от своя страна, може дадоведе до нежелано създаване на връзка (ако например си решил даDROP-ваш NEW пакетите). Ако нямаш правилото, което си написал по-горе,ще бъде възможно да се създаде нова връзка въпреки твоята забрана.


Това също е добре обяснено в документацията, която ти препоръчах.

> ( сега се замислих това как ще се преведе на български спрямодействието му вслучея ?!. drop -> пуска :)) , а то е точно обратното ,непропуска :)) ).


:) Аз затова пиша 'DROP-ва' :)


Поздрави: Илия Линдов
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================

Във връзка с:
- Re: lug-bg: --syn != state NEW
  - Изпратено от: Delian Krustev <krustev@xxxxxxxxxxx>

Относно:
- Re: Re: lug-bg: --syn != state NEW
  - Изпратено от: dgt_it dgt_it <dgt_it@xxxxxx>

Предишно по дата: Re: Re: lug-bg: --syn != state NEW
Следващо по дата: Re: lug-bg: за инсталирането и рестартирането
Предишно по тема: Re: Re: lug-bg: --syn != state NEW
Следващо по тема: Re: lug-bg: --syn != state NEW
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG