IPTABLES AVANÇADO [RESOLVIDO]

1. IPTABLES AVANÇADO [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 12/12/2011 - 13:58h

Olá pessoal,

Tenho uma dúvida trabalho com iptables, porém não sou um expert no assunto, por isso recorro ao suporte em relação a uma regra, está regra abaixo faz exatamente o que ?

iptables -A FORWARD -p tcp - tcp-flags SYN, RST SYN -j TCPMSS - clamp-mss-to-PMTU

pergunto isso, por que tenho um roteador aqui na rede que aceita regras iptables, quando compartilho a conexão os computadores só acessam se está regra estiver ativa, se removo a mesma a conexão não é estabelecida.

Por que isso ?


Atenciosamente eabreu, agradeço a colaboração de todos...


  


2. MELHOR RESPOSTA

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 12/12/2011 - 14:50h

Poizé. Não sei se vc leu atentamente, mas quando isso ocorre, ou pq há um bloqueio d pacotes ICMP Fragmentation Needed ou pq há um problema entre o ISP e o seu firewall. Portanto, sem essa regra, ninguém conecta, sacou? Msm q não haja nenhuma regra e q tudo esteja liberado.

3. #Proteção contra port scanners ocultos

Fabio Pego
fabiopego

(usa Debian)

Enviado em 12/12/2011 - 14:22h

#Proteção contra port scanners ocultos

da uma olha nessa regras, é bem bastante dicas...

http://www.tccamargo.com/linux/tutoriais/iptables.html


4. Re: IPTABLES AVANÇADO [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 12/12/2011 - 14:28h

É mais fácil ler o manual:


Esta opção permite alterar o valor MSS dos pacotes TCP SYN, para controlar o tamanho máximo daquela conexão (normalmente limitando-o na MTU da interface de saída menos 40). É claro, só pode ser habilitado juntamente com a opção -p tcp. Só é válido na tabela mangle.
Esta opção é utilizada para burlar os provedores ou servidores que bloqueiam pacotes ICMP Fragmentation Needed. O sintomas deste problema é que tudo funciona no firewall/roteador, mas as máquinas por trás nunca conseguem trocar grandes pacotes:

1) Navegador conecta, depois encerra com "nenhum dado recebido";
2) E-mails pequenos funcionam blz, mas e-mails grandes falham;
3) ssh funciona, mas scp encerra após handshaking inicial.

Gambiarra: ative esta opção e adicione uma regra ao seu firewall:

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu

--set-mss valor = Especifica o valor MSS

--clamp-mss-to-pmtu = Automaticamente modifica o valor MSS para (path_MTU - 40).


Traduzido por mim msm...


5. Re: IPTABLES AVANÇADO [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 12/12/2011 - 14:29h

Obrigado pelo retorno amigos,

Porém já tinha olhado no manual do iptables, porém não entendi.

Mas no contexto da regra o que quer dizer exatamente esse target que está na regra:

TCPMSS - clamp-mss-to-PMTU


E por que mesmo as regras estando zeradas e compartilhando a conexão via interface ppp0, e as regras padrões estando como ACCEPT, a conexão com a internet não é estabelecida para os computadores da rede interna sem essa regra, se a regra está presente se conecta se não, não conecta nenhum computador a internet?


6. Re: IPTABLES AVANÇADO [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 12/12/2011 - 14:39h

Puxa, kra, nem traduzindo vc entendeu? Ae fica difícil...


7. Re: IPTABLES AVANÇADO [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 12/12/2011 - 14:43h

Note que pelo manual está descrita a regra está inserida na tabela MANGLE, no meu caso está na tabela filter.

E por que mesmo as regras estando zeradas e compartilhando a conexão via interface ppp0, e as regras padrões estando como ACCEPT, a conexão com a internet não é estabelecida para os computadores da rede interna sem essa regra, se a regra está presente se conecta se não, não conecta nenhum computador a internet?

Poderia me esclarecer ?






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts