Re: [rlug] Tomato/OpenWRT reset conexiune TCP activă
Esti sigur ca nu exista deja pachet ? https://dev.openwrt.org/browser/trunk/package/network/utils/conntrack-tools/Makefile?rev=33701 ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Tomato/OpenWRT reset conexiune TCP activă
Da, varianta b cu deny explicit înainte de established mi se pare neelegantă (+ că ar trebui să tin cont de ea la reactivarea regulilor)... Pentru restul văd ca trebuie să compilez un tool extern. O să câștige cel care o să aibă binarul cel mai mic :) Speram că pot să o rezolv cu un echo "ceva" > /proc/altceva ... Mulțumesc 2014-12-10 11:29 GMT+02:00 Vali Dragnuta : > a). vezi si tcpkill din dsniff > b). poti sa adaugi temporar inainte de regula care face match pe > ESTABLISHED reguli noi care sa faca match pe sursa si destinatia > conexiunii active si sa dea REJECT > c). dupa ce schimbi regulile de acces faci flush pe toata tabela de > connection tracking sau individual pe flowurile care te deranjeaza. > man conntrack, vezi --delete > > c) este solutia cea mai eleganta. > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Tomato/OpenWRT reset conexiune TCP activă
a). vezi si tcpkill din dsniff b). poti sa adaugi temporar inainte de regula care face match pe ESTABLISHED reguli noi care sa faca match pe sursa si destinatia conexiunii active si sa dea REJECT c). dupa ce schimbi regulile de acces faci flush pe toata tabela de connection tracking sau individual pe flowurile care te deranjeaza. man conntrack, vezi --delete c) este solutia cea mai eleganta. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] Tomato/OpenWRT reset conexiune TCP activă
Salut On 12/10/2014 09:55 AM, Adrian Popa wrote: > Salut, > > Am un WRT54GL care ruleaza un firmware bazat pe TomatoUSB (cu suport IPv6) > care mai are pe cap și câteva scripturi custom care dau permit în firewall > pentru anumite resurse interne pe baza unor reguli (de ex permit acces la > ora 8, deny acces la ora 17). > > Scriptul manipuleaza direct iptables și totul e bine și frumos, mai puțin > în cazul în care cineva stabilește o conexiune (să zicem la 16:30) și o > lasă activă. La ora 17 se șterge permit-ul din firewall și se va da drop > automat cererilor noi de conexiune, dar conexiunile active au permit > implicit pe regula de ESTABLISHED,RELATED. > > Probabil cel mai simplu ar fi sa pui regulile astea inainte de regula care permite toate conexiunile ESTABLISHED :) In cazul general, nu e obligatoriu o idee buna sa ai regula asta default pentru pachetele forward-ate/nat-uite. Evident posibil sa fie alte cerinte in cazul tau. Cip ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug