[ SlackList ] [ WkikiSlack ]




Re: iptables i modół flags

From: Sławomir Jach <cobico_malpka_lh.pl>
Date: Wed Nov 03 2004 - 08:52:59 CET

   Uzytkownik Machoni napisal/:

Po kolei, po pierwsze zamarkuje kolejnosc, bo troche sie to
nieczytelne zrobilo kto i co...
 
  

iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST \
-m limit --limit 1/s -j ACCEPT

Ta regolka mowi ze sposrod flag SYN,ACK,FIN,RST JEDYNA
ustawiona ma byc flaga RST, wowczas i tylko wowczas pakiet
pasuje.
      

  a to dobre miejsce na to zebys wytl/umaczyl/ co oznacza
 " ma byc ustawiona" i po co, bo do tej pory sadzil/em ze
pakiety przychodza z ustawionymi flagami i na tej podstawie
sa weryfikowane :) (trzymajmy sie tego przykl/adu)

    

 
Dobrze sadziles, przez sformulowanie "ma byc ustawiona" nie
chodzilo mi zeby regola ustawiala flage, tylko ze pakiet sposrod
wszystkich wymienionych flag ma ustawiona TYLKO flage RST. Czyli
trzymajac sie tego przykladu, pakiet NIE MA flagi SYN, pakiet NIE
MA flagi ACK, pakiet nie ma flagi FIN, pakiet MA flage RST.
 
  

Pozatym dobrze mowisz, ze 5 na sek (ustawiasz 1 sek, bursta
nie zmieniasz a jest on domsylnie 5) ale tylko przez 1 sek,
pozniej bedzie to 1/sek. I jeszcze jedno... nastepne pakiety
beda niszczone tylko i wylacznie wowczas gdy zniszczysz
je w nastepnej regole czy tez przez polityke domyslna
lancucha podstawowego,
      

  Domyslna jest oczywiscie na DROP wiec chyba bedzie ok

    

jesli jednak pomiedzy ta regola a koncem (czy inna kasujaca)
znajdzie sie inna pasujaca i akceptujaca regola, to one
przejda !!
      

  No tu nie rozumiem, przeciez podobno pierwsza napotkana
regól/a jest brana pod uwage i zadna kolejna , wiec o co
chodzi ? nie arzej
    

 
 
I tak i nie. Po pierwsze masz racje, pierwsza napotkana PASUJACA
regola jest brana pod uwage, ale rozwaz tez ze do powyzszej regoly
pasuja jedynie pakiety ktore:
 
- naleza do lancucha FORWARD
- naleza do protokolu tcp
- maja ustawiona flage RST, nie maja flag SYN,ACK,FIN
- jest to pierwszy pakiet tego typu od sekundy (albo pierwszy z 5
(burst) pierwszych w serii)
 
I wszystko to JEDNOCZESNIE, ale to chyba jasne. A wiec jesli
wyslesz 10 pakietow na sekunde to:
pierwsze 5 zalapie sie z racji pojemnosci burst (5), kolejne 5 nie
pasuje do regoly, a wiec jest sprawdzane przez iptables dalej, az
nie natrafia na PASUJACA regole, ta regola do tych pakietow (6-10)
NIE PASUJE !!!! bo nie sa to pierwsze z pakietow w danym czasie
(nie lapia sie na limit).
 
PS. By zrozumiec zasade limit, polecam poczytanie jednak howto, bo
tak w mailu i bez tych ciekawych ascii artow ktore tam sa, to mi
sie chyba nie chce tlumaczyc ;)
 
 
  

   no ok ale przecierz domyslna polityka jest na drop, jezeli pakiet
   przechodzi przez tablice i nie napotka pasujacej regól/y to na koncu
   powinien byc niszczony. Dobrze mysle ?

  
Received on Wed Nov 3 08:53:30 2004

This archive was generated by hypermail 2.1.8. Wyprawa Shackleton 2014