|
|
Besucher 746332
Ansichten 5063
Online 0 |
|
|
Iptables state match NEW etc....
| |
| Thema |
Verfasser |
Letzte Antwort |
| Iptables state match NEW etc.... |
CHROISS ( ---.mmc.de) |
20 Dec 2006 14:08 | Hallo zusammen.
Kurze Frage...
Die angegebenen States in einem State Match , sind das "und-Verknüpfungen" oder "oder-Verknüpfungen" ??
sprich wenn ich --states NEW,INVALID habe;
bezieht sich das auf Pakete mit NEW(syn) und INVALID
oder auf Pakete die eines von beiden haben.
Dein Buch sagt ODER ( an irgendeiner Stelle ... )
Wäre ja eigentlich auch Quatsch wenn man die Syntax benutzt
--states NEW,ESTABLISHED,RELATED.
Es kann ja keine Pakete geben, die alle drei Zustände haben.
Oder ist der Ausdruck NEW,INVALID ein Spezialfall ?
grüsse
|
| ||
| RE: Iptables state match NEW etc.... | Ralf ( ---.versanet.de) | 16 Dec 2006 09:49 |
On 15 Dec 2006 11:56 'CHROISS' wrote:
>
> Dein Buch sagt ODER ( an irgendeiner Stelle ... )
> Wäre ja eigentlich auch Quatsch wenn man die Syntax benutzt
> --states NEW,ESTABLISHED,RELATED.
>
Es ist ODER!
> Oder ist der Ausdruck NEW,INVALID ein Spezialfall ?
Wieso kommst Du darauf?
Gruß,
Ralf | | RE: RE: Iptables state match NEW etc.... | CHROISS ( ---.netcologne.de) | 16 Dec 2006 11:57 |
weil ich immer wieder sehe das leute scripts aufbauen mit dieser kombination von states in der INPUT kette mit dem Ziel DROP.
Und das obwohl die default POLICY schon auf drop steht.
Ich verstehe den Sinn dieser Anordnung nicht.Und war mir dann selber nicht mehr sicher, ob es sinnvoll ist diesen Regelsatz anzuwenden...
Meine Frage galt der Absicherung meines Wissens. Vielen Dank.
(Werde nie mehr an deinem Buch zweifeln... ;-) )
postscr.:
Weil ich gerade schreibe :
Kennst Du eine Möglichkeit einen Reset auf eine bestehende Verbindung (TCP natürlich) zu setzten, welche über ppp0 läuft ? Es gibt das Tool TCPkill, welches aber nicht auf ppp0 zugreifen kann. Nemesis schafft es auch nicht. An der Sequenznummer sollte es ja nicht scheitern , da das System ja die eigenen Verbindungen "kennt"...
Oder bleibt mir da nur die Möglichkeit mit dem set Befehl von IPTABLES zu arbeiten ?
Viele Grüsse
[Wenn keine Antwort auf den letzten Absatz kommt, kann ich das verstehen , da das wirklich schon ein bischen aus dem Rahmen dieses Forums läuft. Trotzdem Danke ] | | RE: RE: RE: Iptables state match NEW etc.... | Ralf ( ---.versanet.de) | 18 Dec 2006 19:17 |
On 16 Dec 2006 11:57 'CHROISS' wrote:
> weil ich immer wieder sehe das leute scripts aufbauen mit dieser kombination von states in der INPUT kette mit dem Ziel DROP.
Sie wollen halt ganz sicher keine Verbindungen von außen akzeptieren. Invalide Pakete sowieso nicht.
> Und das obwohl die default POLICY schon auf drop steht.
Getreu dem Motto: Doppelt hält besser.
> (Werde nie mehr an deinem Buch zweifeln... ;-) )
So war das nicht gemeint. Es sind sicherlich reichlich Fehler in dem Buch ;-)eibe :
>
> Kennst Du eine Möglichkeit einen Reset auf eine bestehende Verbindung (TCP natürlich) zu setzten, welche über ppp0 läuft ? Es gibt das Tool TCPkill, welches aber nicht auf ppp0 zugreifen kann. Nemesis schafft es auch nicht. An der Sequenznummer sollte es ja nicht scheitern , da das System ja die eigenen Verbindungen "kennt"...
Hmh. Nie probiert, aber was ist mit hping2?
Gruß,
Ralf | | RE: RE: RE: RE: Iptables state match NEW etc.... | CHROISS ( ---.mmc.de) | 20 Dec 2006 11:01 |
> Hmh. Nie probiert, aber was ist mit hping2?
hmm auch noch nicht probiert.
Es hat jetzt aber mit dem kleinen netten c script von Paul Watson geklappt. Elementar scheint dabei die Fenstergrösse zu sein... ( wenn Sie aber richtig eingestellt ist, kommt der gewünschte reset - wenn man denn genügend Zeit hat - max 30 min. bei bekannten port )
Immer scheint das aber auch nicht zu klappen.
Ich bin auf die ganze Sache erst gekommen als ich mir mal den Inhalt von /proc/net/ip_conntrack (iptstate) angesehen habe. Denn dort sind oft alte Verbindungen über ppp0 offen und das mit <<<<alter PzP IP !!!>>>> , wobei die TTL munter vor sich hin dümpelt . Kann man nicht eigentlich die 5 Tage runtersetzen, sagen wir auf eine Std. ? Oder hat das grosse Auswirkungen, ausser das mein ebayfenster auf einmal die Verbindung nicht mehr hält ( wenn ich nicht mehr aktiv klicke und eine std. vergangen ist ) ?
Oder sind das einfach Leichen, die ab und zu mal vorkommen..
Fragen über Fragen - aber interessantes Thema !!!
grüsse
| | RE: RE: RE: RE: RE: Iptables state match NEW etc.... | Ralf ( ---.versanet.de) | 20 Dec 2006 14:08 |
Hallo,
ja, dass passiert häufig bei Einwahl-Anschlüssen. Du kannst die 5 Tage bei einem modernen Kernel runtersetzen:
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
Gruss,
Ralf |
[ Zurück ] Um ein neues Thema hinzu zu fügen müssen sie eingeloggt sein.
|
|
|
|
Welche Distribution verwenden Sie?
| |
|
|
|
17 Oct 2008: