[rlug] sfat reject vs drop

Blitzkrieg Mon, 21 Mar 2005 05:27:56 -0800

salut !


Scriu (defapt ma chinui cu) un program care printre altele vrea sa faca 
ceva de genu:
- primeste de la un daemon (care ruleaza pe router) o lista cu toate 
conexiunile active (/proc/net/ip_conntrack), aceaste find afisate 
clientului in felul urmator:
Proto | Source Address | Source Port | Remote Address | Remote Port| 
Service | State

tcp    10.11.16.33      51428         130.239.18.172   6667           
ircd      ESTABLISHED
tcp    127.0.0.1        51775         127.0.0.1        22             
sshd      ESTABLISHED

Acum adminu folosind clientu are la dispozitie 3 butoane: STOP transfer, 
BAN transfer, si BAN transf for x minutes. Numele sunt sugestive zic eu. 
Sa zicem ca adminu selecteaza a doua conexiune si ii da stop. Daemonu 
primeste comanda si executa ceva de genu: iptables -t filter -I INPUT 1 
-p tcp --src 127.0.0.1 --sport 51775 --dst 127.0.0.1 --dport 22 -j ZZZ. 
ee.. si aici vine problema mea: ce sa fie ZZZ? DROP, REJECT 
--reject-with tcp-reset sau REJECT --reject-with icmp-host-prohibited. 
Le-am incercat pe toate si fiecare are dez si avantaje insa nu pot sa ma 
hotarasc care ar fi cel mai indicat in cazu asta.

REJECT --reject-with tcp-reset e folositor pt ca opreste conexiunea dar 
ea apare in /proc/net/ip_conntrack (si implicit in lista mea) timp de 5 
zile asta datorita 
/proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established care 
este 432000 ceea ce nu imi place si nici nu vreau sa ma bag peste 
valoarea asta. (as putea sa o modific la 20 sec pana dispare din 
conntrack si apoi sa ii pun valoarea initiala dar...)

REJECT --reject-with icmp-host-prohibited sau DROP nici ele nu prea ma 
ajuta foarte mult, deoarce in ex cu ssh dupa ce renunt la regula (o 
sterg) conexiunea isi revine. adica, pas cu pas: intr-un terminal: ssh 
localhost -l blitz; apoi din program ii dau BAn 3 minute sa zicem; in 
momentu asta in terminalu cu ssh nu mai pot executa nici o comanda (nu 
mai imi apare scris-ul, nu mai blinkuie prompterul, ca si gand ar fi 
inghetat) insa dupa terminarea celor 3 minute terminalu isi revine si 
imi executa comenzile tastate. so...

Ar mai fi cate ceva de spus despre fiecare caci am facut teste in tot 
felul insa cam asta imi mai aduc aminte acu.

Cu speranta ca m-am exprimat cum trebuie si ca m-am facut inteles... va 
multumesc ! :)


-- 
Regards, blitz


--- 
Detalii despre listele noastre de mail: http://www.lug.ro/

[rlug] sfat reject vs drop

Raspunde prin e-mail lui