forum.opennet.ru

Составление сообщения

Исходное сообщение

"почему подвисает SSH при блокировке NEW ! SYN ?"
Отправлено greenwar, 14-Мрт-15 22:18

столкнулся с такой непоняткой:
документация утверждает, что надо так:
iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
обычные люди про conntrack не знают и привыкли так:
iptables -A INPUT -m state --state NEW -p tcp ! SYN,RST,ACK,FIN SYN -j DROP
в общем и целом оно работает, НО! через ~ минуту бездействия подвисает и потом приходится ждать, пока дойдёт новое соединение и сессия отвиснет.
может и не отвиснуть.
я это дело залогировал и увидел ACK PSH:
SRC=xx.xx.xx.xx DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x20 TTL=57 ID=36151 DF PROTO=TCP SPT=55967 DPT=39512 WINDOW=2480 RES=0x00 ACK PSH URGP=0
что странно ^^
пробовал так: ! SYN,RST,ACK,FIN SYN
и PSH подставлял, SYN SYN пробовал и т.д., оно всё-равно в логах про них говорит
конкретно даже вот это правило:
-A INPUT -p tcp -m state --state NEW ! --tcp-flags SYN,RST,ACK,FIN,PSH SYN -j LOG --log-level DEBUG --log-prefix="NEW packets: "
в логи выводит вышеуказанную строку про ACK PSH
флаг PSH он вообще не из NEW, по идее, он про то, что данные протолкнуть надо, поэтому его присутствие загадочно
чё он хочет то от меня?
iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
будет блокировать все попытки открыть входящее TCP-соединение не SYN-пакетом. Попытка установить соединение таким образом может быть либо ошибкой, либо атакой.
ssh криво открывает новые соединения или что?
но по логам там и фтп такой же косяк ловит, правда это уже не я

Исходное сообщение
"почему подвисает SSH при блокировке NEW ! SYN ?" Отправлено greenwar, 14-Мрт-15 22:18
столкнулся с такой непоняткой: документация утверждает, что надо так: iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP обычные люди про conntrack не знают и привыкли так: iptables -A INPUT -m state --state NEW -p tcp ! SYN,RST,ACK,FIN SYN -j DROP в общем и целом оно работает, НО! через ~ минуту бездействия подвисает и потом приходится ждать, пока дойдёт новое соединение и сессия отвиснет. может и не отвиснуть. я это дело залогировал и увидел ACK PSH: SRC=xx.xx.xx.xx DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x20 TTL=57 ID=36151 DF PROTO=TCP SPT=55967 DPT=39512 WINDOW=2480 RES=0x00 ACK PSH URGP=0 что странно ^^ пробовал так: ! SYN,RST,ACK,FIN SYN и PSH подставлял, SYN SYN пробовал и т.д., оно всё-равно в логах про них говорит конкретно даже вот это правило: -A INPUT -p tcp -m state --state NEW ! --tcp-flags SYN,RST,ACK,FIN,PSH SYN -j LOG --log-level DEBUG --log-prefix="NEW packets: " в логи выводит вышеуказанную строку про ACK PSH флаг PSH он вообще не из NEW, по идее, он про то, что данные протолкнуть надо, поэтому его присутствие загадочно чё он хочет то от меня? iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP будет блокировать все попытки открыть входящее TCP-соединение не SYN-пакетом. Попытка установить соединение таким образом может быть либо ошибкой, либо атакой. ssh криво открывает новые соединения или что? но по логам там и фтп такой же косяк ловит, правда это уже не я

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> столкнулся с такой непоняткой: 
> документация утверждает, что надо так: 
> iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j 
> DROP 
> обычные люди про conntrack не знают и привыкли так: 
> iptables -A INPUT -m state --state NEW -p tcp ! SYN,RST,ACK,FIN SYN 
> -j DROP 
> в общем и целом оно работает, НО! через ~ минуту бездействия подвисает 
> и потом приходится ждать, пока дойдёт новое соединение и сессия отвиснет. 
 
> может и не отвиснуть.
> я это дело залогировал и увидел ACK PSH: 
> SRC=xx.xx.xx.xx DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x20 TTL=57 ID=36151 DF PROTO=TCP 
> SPT=55967 DPT=39512 WINDOW=2480 RES=0x00 ACK PSH URGP=0

> что странно ^^

> пробовал так: ! SYN,RST,ACK,FIN SYN 
> и PSH подставлял, SYN SYN пробовал и т.д., оно всё-равно в логах 
> про них говорит 
> конкретно даже вот это правило: 
> -A INPUT -p tcp -m state --state NEW ! --tcp-flags SYN,RST,ACK,FIN,PSH SYN 
> -j LOG --log-level DEBUG --log-prefix="NEW packets: " 
> в логи выводит вышеуказанную строку про ACK PSH 
> флаг PSH он вообще не из NEW, по идее, он про то, 
> что данные протолкнуть надо, поэтому его присутствие загадочно 
> чё он хочет то от меня?

> iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j 
> DROP 
> будет блокировать все попытки открыть входящее TCP-соединение не SYN-пакетом. Попытка 
> установить соединение таким образом может быть либо ошибкой, либо атакой.

> ssh криво открывает новые соединения или что?
> но по логам там и фтп такой же косяк ловит, правда это 
> уже не я

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру