Linux-Bulgaria.ORG
навигация

 

начало

пощенски списък

архив на групата

семинари ...

документи

как да ...

 

 

Предишно писмо Следващо писмо Предишно по тема Следващо по тема По Дата По тема (thread)

Re: lug-bg: --syn != state NEW


  • Subject: Re: lug-bg: --syn != state NEW
  • From: Delian Krustev <krustev@xxxxxxxxxxx>
  • Date: Fri, 7 May 2004 16:14:54 +0300

On Thursday 06 May 2004 21:16, Ilia Lindov wrote:
> Смятам че знаеш, че по принцип при UDP и ICMP не се осъществява т.нар.
> 'връзка', т.е. хостовете пращат пакети, без да ги интересува и без да
> получават информация затова дали са пакетите са пристигнали, дали са
> цели, без грешки и т.н.
> Iptables обаче има методи, по които следи разните UDP и ICMP пакети и на
> база на различни показатели (посоки на движение на пакетите между два
> хоста, следи 'от' и 'до' портовете, времена на евентуални отговори) и
> определя дали даден UDP или ICMP пакет пристига като отговор на
> предходен или не. Та по такъв начин 'iptables' работи с
> NEW,ESTABLISHED,RELATED състоянията при UDP и ICMP. Пък при TCP всичко
> си е точно документирано по отношение на връзките :).

Трите протокола за които говориш далеч не са всичко което се капсулира
в IP. Повече инфо в google (Internet Assigned Numbers rfc).

> Виж следната ситуация:
> Пристига TCP пакет, който не принадлежи на никоя от връзките, които
> iptables следи и освен това SYN флагът му не е зададен. Ако нямаш
> горното правило, този пакет ще премине през firewall-а, тъй като това не
> е нова връзка (според това, че няма SYN флаг), но може пък евентуално да
> е от ESTABLISHED връзка на друг firewall (ако например имаш повече от
> един в мрежата си). Това пропускане на пакета, от своя страна, може да
> доведе до нежелано създаване на връзка (ако например си решил да
> DROP-ваш NEW пакетите). Ако нямаш правилото, което си написал по-горе,
> ще бъде възможно да се създаде нова връзка въпреки твоята забрана.

Прочети пак какво си написал. Не може такъв TCP пакет да отвори конекция.
Единствения вариант при колкото си щеш навързани statefull firewall-a при
твоя връзката да се счете като като неустановена а другите да я считат за
такава е ако пакетите за създаване на връзката не са минали през теб. Два
варианта които ми идват наум. Или го пускаш(firewall-a) докато сесията си
тече, или има промяна в рутинга някъде си и тая сесия тепърва почва да
минава през теб. Който и да е от двата, дропиш си на спокоиствие. При
несиметрично рутиране, забравяш за модула state въобще ..
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================



 

наши приятели

 

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

 

 

Linux-Bulgaria.ORG

Mailing list messages are © Copyright their authors.