Linux-Bulgaria.ORG

навигация

начало

пощенски списък

архив на групата

По Дата

Re: lug-bg: --syn != state NEW

Subject: Re: lug-bg: --syn != state NEW
From: Delian Krustev <krustev@xxxxxxxxxxx>
Date: Fri, 7 May 2004 16:14:54 +0300

On Thursday 06 May 2004 21:16, Ilia Lindov wrote:
> Смятам че знаеш, че по принцип при UDP и ICMP не се осъществява т.нар.
> 'връзка', т.е. хостовете пращат пакети, без да ги интересува и без да
> получават информация затова дали са пакетите са пристигнали, дали са
> цели, без грешки и т.н.
> Iptables обаче има методи, по които следи разните UDP и ICMP пакети и на
> база на различни показатели (посоки на движение на пакетите между два
> хоста, следи 'от' и 'до' портовете, времена на евентуални отговори) и
> определя дали даден UDP или ICMP пакет пристига като отговор на
> предходен или не. Та по такъв начин 'iptables' работи с
> NEW,ESTABLISHED,RELATED състоянията при UDP и ICMP. Пък при TCP всичко
> си е точно документирано по отношение на връзките :).

Трите протокола за които говориш далеч не са всичко което се капсулира
в IP. Повече инфо в google (Internet Assigned Numbers rfc).

> Виж следната ситуация:
> Пристига TCP пакет, който не принадлежи на никоя от връзките, които
> iptables следи и освен това SYN флагът му не е зададен. Ако нямаш
> горното правило, този пакет ще премине през firewall-а, тъй като това не
> е нова връзка (според това, че няма SYN флаг), но може пък евентуално да
> е от ESTABLISHED връзка на друг firewall (ако например имаш повече от
> един в мрежата си). Това пропускане на пакета, от своя страна, може да
> доведе до нежелано създаване на връзка (ако например си решил да
> DROP-ваш NEW пакетите). Ако нямаш правилото, което си написал по-горе,
> ще бъде възможно да се създаде нова връзка въпреки твоята забрана.

Прочети пак какво си написал. Не може такъв TCP пакет да отвори конекция.
Единствения вариант при колкото си щеш навързани statefull firewall-a при
твоя връзката да се счете като като неустановена а другите да я считат за
такава е ако пакетите за създаване на връзката не са минали през теб. Два
варианта които ми идват наум. Или го пускаш(firewall-a) докато сесията си
тече, или има промяна в рутинга някъде си и тая сесия тепърва почва да
минава през теб. Който и да е от двата, дропиш си на спокоиствие. При
несиметрично рутиране, забравяш за модула state въобще ..
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================

Във връзка с:
- Re: lug-bg: --syn != state NEW
  - Изпратено от: Ilia Lindov <ilia@xxxxxxxxxxxxxx>

Относно:
- Re: Re: lug-bg: --syn != state NEW
  - Изпратено от: dgt_it dgt_it <dgt_it@xxxxxx>
- Re: lug-bg: --syn != state NEW
  - Изпратено от: Ilia Lindov <ilia@xxxxxxxxxxxxxx>

Предишно по дата: Re: lug-bg: за инсталирането и рестартирането
Следващо по дата: Re: lug-bg: seminar 2004 - fLanelki
Предишно по тема: Re: lug-bg: --syn != state NEW
Следващо по тема: Re: lug-bg: --syn != state NEW
Индекс:
- По дата
- По тема

наши приятели

линукс за българи
http://linux-bg.org

FSA-BG
http://fsa-bg.org

OpenFest
http://openfest.org

FreeBSD BG
http://bg-freebsd.org

KDE-BG
http://kde.fsa-bg.org/

Gnome-BG
http://gnome.cult.bg/

проект OpenFMI
http://openfmi.net

NetField Forum
http://netField.ludost.net/forum/

Linux-Bulgaria.ORG