[ SlackList ] [ WkikiSlack ]




Re: iptables i modół flags

From: Sławomir Jach <cobico_malpka_lh.pl>
Date: Mon Nov 01 2004 - 20:36:43 CET

   Uzytkownik Machoni napisal/:

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s
 -j ACCEPT

    

Ta regolka mowi ze sposrod flag SYN,ACK,FIN,RST JEDYNA ustawiona ma byc flaga
 RST, wowczas i tylko wowczas pakiet pasuje.

   a to dobre miejsce na to zebys wytl/umaczyl/ co oznacza " ma byc
   ustawiona" i po co, bo do tej pory sadzil/em ze pakiety przychodza z
   ustawionymi flagami i na tej podstawie sa weryfikowane :)
   (trzymajmy sie tego przykl/adu)

 Pozatym dobrze mowisz, ze 5 na sek (ustawiasz 1 sek, bursta nie zmieniasz a je
st on domsylnie 5) ale tylko przez 1 sek, pozniej bedzie to 1/sek. I jeszcze je
dno... nastepne pakiety beda niszczone tylko i wylacznie wowczas gdy zniszczysz
 je w nastepnej regole czy tez przez polityke domyslna lancucha podstawowego,

   Domyslna jest oczywiscie na DROP wiec chyba bedzie ok

 jesli jednak pomiedzy ta regola a koncem (czy inna kasujaca) znajdzie sie inna
 pasujaca i akceptujaca regola, to one przejda !!

  

   No tu nie rozumiem, przeciez podobno pierwsza napotkana regól/a jest
   brana pod uwage i zadna kolejna , wiec o co chodzi ? nie jarze
Received on Mon Nov 1 19:37:16 2004

This archive was generated by hypermail 2.1.8. Wyprawa Shackleton 2014