Denuncie   Favoritos   Indicar  

Ajuda com regra iptables / módulo conntrack

1. Ajuda com regra iptables / módulo conntrack

Pedro
px
(usa Debian)

Enviado em 07/08/2013 - 10:04h

Bom dia para todos! Bem já comecei meu dia com um "probleminha" aq no iptables, cujo mesmo interrompe downloads ou conexões que "caiam", na verdade ele não aceita os pacotes RST caso aconteça da conexão cair ou sei lá, gostaria de esclarecer algumas coisas se possível, que são:

1-As regras abaixo se diferem na sua função? se sim como?

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


2-Gostaria de saber se é possível criar uma regra que aceite pacotes RST de conexões estabelecidas nesta regra da duvida nº 1 e se for possível seria segura, ou teria como implementá-la seguramente para máquinas Desktop? abaixo segue minha tentativa...

iptables -A INPUT -p tcp --tcp-flags ALL RST -m conntrack --ctstate RELATED -j ACCEPT


Lembrando que esta regra não esta ativa no meu micro como "job" ACCEPT mais sim como "job" Log para testes é claro! segue a regra novamente.

iptables -A INPUT -p tcp --tcp-flags ALL RST -m conntrack --ctstate RELATED -j LOG --log-level warning --log-prefix "[RST_DROP]"


Gostaria de evitar "marcar" conexões estabelecidas para não FE*** com o firewall, alocando recursos desnecessários, seria o caso de usar o conntrack (cujo mesmo já está ativo) para tal, por isso tentei com o state RELATED, mas não tenho prática nisso e até agora nenhum log desta foi gerado (meus logs estão funcionando corretamente, e demais programas também)

Acredito que o erro esteja nas --tcp-flags, gostaria de marcar somente os pacotes RST que fossem enviados de ips cuja conexão foi pré-estabelecida pela regra lá em cima (dúvida n° 1) e aceita-los se a conexão for legitima.



Obrigado desde já a todos!

0 0
  • Quote

    •   


    2. Re: Ajuda com regra iptables / módulo conntrack

    Pedro
    px
    (usa Debian)

    Enviado em 07/08/2013 - 19:45h

    Estou usando as seguintes regras aqui:

    # Aceita pacotes RST de ips que não são "suspeitos" (se uma conexão cair este RST pode ser dropado sem esta regra)
    
iptables -A INPUT -p tcp --tcp-flags ALL RST -m recent ! --rcheck --name SUSPEITO -j LOG --log-level warning --log-prefix "[RST_NOSU_ACCEPT]"
    
iptables -A INPUT -p tcp --tcp-flags ALL RST -m recent ! --rcheck --name SUSPEITO -j ACCEPT


    Esta regra permite os RST contanto que não esteja seu ip na lista SUSPEITO não é? ainda estou na duvida dos pacotes (--flags) ALL RST siguinifica que ele irá analizar TODAS as flags e só irá permitir as RST? é seguro fazer isto?

    Pliz to necessitando disso, meus downloads agradecem!




    ---
    Atenciosamente, Pedro.

    Já leu meu último artigo?
    LINK:
    http://www.vivaolinux.com.br/artigos/userview.php?login=px

    Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

    E seja feliz!

    0 0
  • Quote

    • 3. Re: Ajuda com regra iptables / módulo conntrack

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 08/08/2013 - 14:41h

    conntrack:
    http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=2

    --tcp-flags:
    http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=3

    Só tenha cuidado, por erro de formatação os SYN,RST, etc... saíram em letras minúsculas em algumas regras.

    0 0
  • Quote

    • 4. Re: Ajuda com regra iptables / módulo conntrack

    Pedro
    px
    (usa Debian)

    Enviado em 14/08/2013 - 21:41h

    Buckminster escreveu:

    conntrack:
    http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=2

    --tcp-flags:
    http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=3

    Só tenha cuidado, por erro de formatação os SYN,RST, etc... saíram em letras minúsculas em algumas regras.




    Foi bem instrutiva sua contribuição, a e belo artigo tive que dar uma lida hehe, mais o meu problema persiste por aq, não sei se é problema do meu firewall ou do site, no caso o xpg apresenta erros de download (muito raros) e como já obtive meus arquivos através de wget, estou mais tranquilo.

    Minha regra de filtragem esta abaixo:
    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT




    ---
    Atenciosamente, Pedro.

    Já leu meu último artigo?
    LINK:
    http://www.vivaolinux.com.br/artigos/userview.php?login=px

    Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

    E seja feliz!

    0 0
  • Quote

    • 5. Re: Ajuda com regra iptables / módulo conntrack

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 14/08/2013 - 23:57h

    Esta regra está correta:

    "Minha regra de filtragem esta abaixo:
    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT"

    Primeiro coloca-se o ESTABLISHED. O RELATED reporta algum problema na conexão, tipo um relatório.

    Acredito que esse problema que você citou seja causado por outra coisa.

    0 0
  • Quote

    • 6. Re: Ajuda com regra iptables / módulo conntrack

    Pedro
    px
    (usa Debian)

    Enviado em 15/08/2013 - 01:50h

    Buckminster escreveu:

    Esta regra está correta:

    "Minha regra de filtragem esta abaixo:
    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT"

    Primeiro coloca-se o ESTABLISHED. O RELATED reporta algum problema na conexão, tipo um relatório.

    Acredito que esse problema que você citou seja causado por outra coisa.



    Deve ser do site xpg mesmo, pois só observei este problema por lá! e mesmo aceitando os RST caia de vez em quando, provavelmente instabilidade no link ou sei lá, de qualquer forma obg pela força.





    ---
    Atenciosamente, Pedro.

    Já leu meu último artigo?
    LINK:
    http://www.vivaolinux.com.br/artigos/userview.php?login=px

    Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

    E seja feliz!

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Como iniciar uma máquina virtual do VirtualBox automaticamente no boot do LUbuntu 18 LTS

    Os navegadores "leves" que de leves não tem nada

    Dicas

    Como deixar as abas do Firefox mais fininhas

    Mudar o gerenciador de login (GDM para SDDM)

    "Tentando" fazer com que programas rodem no Wayland e no X11

    Saiu o Gnome 47 sem muito alarde com mais do mesmo

    Fedora Kinoite 40 — Instalação de drivers NVIDIA e Xorg

    Tópicos

    Som saiu,sumio,nao funciona, apos atualizacao do linux mint por 22 (1)

    Erro ao iniciar Ubuntu 24.04.1 LTS - Management Owner Key - MoK (3)

    Versão do kernel (3)

    Notebook instalado com Linux Debian de fábrica dando problema (3)

    Windows XP rodando no Linux (4)

    Top 10 do mês

    Scripts

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    [Shell Script] Telegram direto do site

    [Shell Script] Pós-instalação do openSUSE Tumbleweed

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: