Автор Тема: iptables TCP flags (Прочитано 1178 раз)

Пончик · « : 12 Марта 2015, 15:58:52 »

Всем привет. Простите за столь тупые вопросы, я только учусь

В интернете нашел следующий пример фильтрации "плохих" пакетов:

/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL SYN -m state --state NEW -j RETURNНа сколько я понимаю первым пакетом должен быть SYN. Выходит если пакет новый (state NEW) и в нем установлен SYN флаг то его дропнет. Другими словами все новые подключения будут дропатся, верно?

Так же есть еще несколько правил...

/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL RST,ACK,PSH
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL RST,ACK,URG
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL RST,ACK,PSH,URG
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL FIN,PSH,ACK,URG
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL ACK,URG
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL ACK,URG,FIN

что они сделают? Ведь у них нету "действия" (-j)? Просто будет проверка и все?

Спасибо! Надеюсь помидорами не забросаете

.ubuntufan · « **Ответ #1 :** 12 Марта 2015, 16:26:11 »

Цитировать

Другими словами все новые подключения будут дропатся, верно?

Во первых не все а те которые попадают в цепочку tcpchk. Как они туда попадают из твоего поста не понятно.
Во вторых там RETURN а не DROP - не дропаться а наоборот, пропускать остальные проверки в этой цепочке, возвращаясь к родительской.

Цитировать

Так же есть еще несколько правил...
что они сделают? Ведь у них нету "действия" (-j)? Просто будет проверка и все?

Проверка без "действия" имхо смысла не имеет.

AnrDaemon · « **Ответ #2 :** 12 Марта 2015, 18:50:38 »

Цитата: .ubuntufan от 12 Марта 2015, 16:26:11

Проверка без "действия" имхо смысла не имеет.

O'rly?

-A SSH_CHECK -m conntrack --ctstate NEW -m recent --set --name SSH --rsource

.ubuntufan · « **Ответ #3 :** 12 Марта 2015, 18:55:53 »

AnrDaemon, причем здесь это?

AnrDaemon · « **Ответ #4 :** 12 Марта 2015, 18:58:24 »

.ubuntufan, ты сказал "проверка без действия не имеет смысла", или это мне поглючилось?

.ubuntufan · « **Ответ #5 :** 12 Марта 2015, 19:05:55 »

В твоем примере в recent list добавляется запись. Мы здесь обсуждаем конкретные правила где проверка флагов TCP и никаких действий нет.

AnrDaemon · « **Ответ #6 :** 12 Марта 2015, 19:23:34 »

Цитата: Пончик от 12 Марта 2015, 15:58:52

Всем привет. Простите за столь тупые вопросы, я только учусь В интернете нашел следующий пример

Где бы ты его ни нашёл, беги оттуда.
Писано идиотом, видевшим Linux разве что на картинках.
man iptables | grep -C7 INVALID

Форум русскоязычного сообщества Ubuntu

Автор Тема: iptables TCP flags (Прочитано 1178 раз)

Пончик

iptables TCP flags

.ubuntufan

Re: iptables TCP flags

AnrDaemon

Re: iptables TCP flags

.ubuntufan

Re: iptables TCP flags

AnrDaemon

Re: iptables TCP flags

.ubuntufan

Re: iptables TCP flags

AnrDaemon

Re: iptables TCP flags