Re: lug-bg: --syn != state NEW

Thu, 06 May 2004 11:26:14 -0700

Смятам че знаеш, че по принцип при UDP и ICMP не се осъществява т.нар. 'връзка', т.е. хостовете пращат пакети, без да ги интересува и без да получават информация затова дали са пакетите са пристигнали, дали са цели, без грешки и т.н.
Iptables обаче има методи, по които следи разните UDP и ICMP пакети и на база на различни показатели (посоки на движение на пакетите между два хоста, следи 'от' и 'до' портовете, времена на евентуални отговори) и определя дали даден UDP или ICMP пакет пристига като отговор на предходен или не. Та по такъв начин 'iptables' работи с NEW,ESTABLISHED,RELATED състоянията при UDP и ICMP. Пък при TCP всичко си е точно документирано по отношение на връзките :).


Добре де , но сега ми възниква въпрос , този пример е от едно голямо tutorial-че или беше howto ( определено ще видя и това , което ти си 
ми посочил ):

IPTABLES -A INPUT -p tcp ! --syn -m state --state NEW -j DROP

Значи , ако съм те разбрал правилно това нещо отгоре би трябвало да прави следното:

1. отговря на всички пакети опитващи се да установят нова връзка/конекция 2. без обаче тези по TCP протокола 3. и ги дропва

Виж следната ситуация:
Пристига TCP пакет, който не принадлежи на никоя от връзките, които iptables следи и освен това SYN флагът му не е зададен. Ако нямаш горното правило, този пакет ще премине през firewall-а, тъй като това не е нова връзка (според това, че няма SYN флаг), но може пък евентуално да е от ESTABLISHED връзка на друг firewall (ако например имаш повече от един в мрежата си). Това пропускане на пакета, от своя страна, може да доведе до нежелано създаване на връзка (ако например си решил да DROP-ваш NEW пакетите). Ако нямаш правилото, което си написал по-горе, ще бъде възможно да се създаде нова връзка въпреки твоята забрана.

Това също е добре обяснено в документацията, която ти препоръчах.

> ( сега се замислих това как ще се преведе на български спрямо действието му вслучея ?!. drop -> пуска :)) , а то е точно обратното , непропуска :)) ).

:) Аз затова пиша 'DROP-ва' :)


Поздрави: Илия Линдов
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================

Reply via email to