Denuncie   Favoritos   Indicar  

Ajuda com regra iptables / módulo conntrack

1. Ajuda com regra iptables / módulo conntrack

Pedro
px
(usa Debian)

Enviado em 07/08/2013 - 10:04h

Bom dia para todos! Bem já comecei meu dia com um "probleminha" aq no iptables, cujo mesmo interrompe downloads ou conexões que "caiam", na verdade ele não aceita os pacotes RST caso aconteça da conexão cair ou sei lá, gostaria de esclarecer algumas coisas se possível, que são:

1-As regras abaixo se diferem na sua função? se sim como?

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT


2-Gostaria de saber se é possível criar uma regra que aceite pacotes RST de conexões estabelecidas nesta regra da duvida nº 1 e se for possível seria segura, ou teria como implementá-la seguramente para máquinas Desktop? abaixo segue minha tentativa...

iptables -A INPUT -p tcp --tcp-flags ALL RST -m conntrack --ctstate RELATED -j ACCEPT


Lembrando que esta regra não esta ativa no meu micro como "job" ACCEPT mais sim como "job" Log para testes é claro! segue a regra novamente.

iptables -A INPUT -p tcp --tcp-flags ALL RST -m conntrack --ctstate RELATED -j LOG --log-level warning --log-prefix "[RST_DROP]"


Gostaria de evitar "marcar" conexões estabelecidas para não FE*** com o firewall, alocando recursos desnecessários, seria o caso de usar o conntrack (cujo mesmo já está ativo) para tal, por isso tentei com o state RELATED, mas não tenho prática nisso e até agora nenhum log desta foi gerado (meus logs estão funcionando corretamente, e demais programas também)

Acredito que o erro esteja nas --tcp-flags, gostaria de marcar somente os pacotes RST que fossem enviados de ips cuja conexão foi pré-estabelecida pela regra lá em cima (dúvida n° 1) e aceita-los se a conexão for legitima.



Obrigado desde já a todos!

0 0
  • Quote

    •   


    2. Re: Ajuda com regra iptables / módulo conntrack

    Pedro
    px
    (usa Debian)

    Enviado em 07/08/2013 - 19:45h

    Estou usando as seguintes regras aqui:

    # Aceita pacotes RST de ips que não são "suspeitos" (se uma conexão cair este RST pode ser dropado sem esta regra)
    
iptables -A INPUT -p tcp --tcp-flags ALL RST -m recent ! --rcheck --name SUSPEITO -j LOG --log-level warning --log-prefix "[RST_NOSU_ACCEPT]"
    
iptables -A INPUT -p tcp --tcp-flags ALL RST -m recent ! --rcheck --name SUSPEITO -j ACCEPT


    Esta regra permite os RST contanto que não esteja seu ip na lista SUSPEITO não é? ainda estou na duvida dos pacotes (--flags) ALL RST siguinifica que ele irá analizar TODAS as flags e só irá permitir as RST? é seguro fazer isto?

    Pliz to necessitando disso, meus downloads agradecem!




    ---
    Atenciosamente, Pedro.

    Já leu meu último artigo?
    LINK:
    http://www.vivaolinux.com.br/artigos/userview.php?login=px

    Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

    E seja feliz!

    0 0
  • Quote

    • 3. Re: Ajuda com regra iptables / módulo conntrack

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 08/08/2013 - 14:41h

    conntrack:
    http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=2

    --tcp-flags:
    http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=3

    Só tenha cuidado, por erro de formatação os SYN,RST, etc... saíram em letras minúsculas em algumas regras.

    0 0
  • Quote

    • 4. Re: Ajuda com regra iptables / módulo conntrack

    Pedro
    px
    (usa Debian)

    Enviado em 14/08/2013 - 21:41h

    Buckminster escreveu:

    conntrack:
    http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=2

    --tcp-flags:
    http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/?pagina=3

    Só tenha cuidado, por erro de formatação os SYN,RST, etc... saíram em letras minúsculas em algumas regras.




    Foi bem instrutiva sua contribuição, a e belo artigo tive que dar uma lida hehe, mais o meu problema persiste por aq, não sei se é problema do meu firewall ou do site, no caso o xpg apresenta erros de download (muito raros) e como já obtive meus arquivos através de wget, estou mais tranquilo.

    Minha regra de filtragem esta abaixo:
    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT




    ---
    Atenciosamente, Pedro.

    Já leu meu último artigo?
    LINK:
    http://www.vivaolinux.com.br/artigos/userview.php?login=px

    Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

    E seja feliz!

    0 0
  • Quote

    • 5. Re: Ajuda com regra iptables / módulo conntrack

    Buckminster
    Buckminster
    (usa Debian)

    Enviado em 14/08/2013 - 23:57h

    Esta regra está correta:

    "Minha regra de filtragem esta abaixo:
    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT"

    Primeiro coloca-se o ESTABLISHED. O RELATED reporta algum problema na conexão, tipo um relatório.

    Acredito que esse problema que você citou seja causado por outra coisa.

    0 0
  • Quote

    • 6. Re: Ajuda com regra iptables / módulo conntrack

    Pedro
    px
    (usa Debian)

    Enviado em 15/08/2013 - 01:50h

    Buckminster escreveu:

    Esta regra está correta:

    "Minha regra de filtragem esta abaixo:
    iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT"

    Primeiro coloca-se o ESTABLISHED. O RELATED reporta algum problema na conexão, tipo um relatório.

    Acredito que esse problema que você citou seja causado por outra coisa.



    Deve ser do site xpg mesmo, pois só observei este problema por lá! e mesmo aceitando os RST caia de vez em quando, provavelmente instabilidade no link ou sei lá, de qualquer forma obg pela força.





    ---
    Atenciosamente, Pedro.

    Já leu meu último artigo?
    LINK:
    http://www.vivaolinux.com.br/artigos/userview.php?login=px

    Dúvidas?! pergunte pra caixinha... ali em cima ---------------------------------------------------------------------------------------------------------------------------------------^

    E seja feliz!

    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Enviar mensagem ao usuário trabalhando com as opções do php.ini

    Meu Fork do Plugin de Integração do CVS para o KDevelop

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    Dicas

    Criando uma VPC na AWS via CLI

    Multifuncional HP imprime mas não digitaliza

    Dica básica para escrever um Artigo.

    Como Exibir Imagens Aleatórias no Neofetch para Personalizar seu Terminal

    Visualizar a árvore de arquivos no terminal

    Tópicos

    Deej Mixer (0)

    Instalação Uefi com o instalador clássico do Mageia [RESOLVIDO] (2)

    Sudo apt update (0)

    Melhorando a precisão de valores flutuantes em python[AJUDA] (11)

    GLPI - Configuração de destinatário com conta Microsoft Exchange (0)

    Top 10 do mês

    Scripts

    [Shell Script] Criador de playlist

    [Shell Script] Instalador de programas

    [Python] Automação de scan de vulnerabilidades de URL

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: