iptables-Regeln zum Blockieren bestimmter Pakete

Question

Dies ist auf Firewall-Ebene nicht möglich (aber Sie können es – aber Sie erreichen damit nicht das, was Sie sich vorstellen oder was Sie möchten). Das zweite Paket (das Sie wünschen) ist Teil desselben TCP-Streams wie das erste Paket (das Sie nicht möchten), und TCP ist ein zuverlässiger Übermittlungsmechanismus. Das bedeutet, dass das Betriebssystem erkennt, ob ein Paket in der Mitte des Streams verloren gegangen ist (anhand der Sequenznummer im Header jedes Pakets, siehe z. B.http://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structurefür mehr Informationen).

Wenn Sie ein Paket mitten in einem Stream herausfiltern, teilt der Kernel dem anderen Ende einfach weiterhin mit, dass ein Paket fehlt, und das andere Ende überträgt es erneut (dieses Verhalten sehen Sie bereits, beachten Sie die [TCP Retransmission]Markierungen oben). Wenn Sie diese erneuten Übertragungen weiterhin blockieren, wird der Stream desynchronisiert, die Verbindung wird unterbrochen und nichts im Stream wird verarbeitet.

Sie müssen dies auf der Anwendungsebene tun.

Bearbeitenein Kommentaraustausch zwischen uns beiden (von dem viele inzwischen gelöscht wurden) hat deutlich gemacht, dass die Frage möglicherweise nicht alle Details enthält, die sie enthalten sollte. Ich empfehle Ihnen, diese Frage zu schließen – entweder meine Antwort zu akzeptieren oder die gesamte Frage zu löschen – und eine neue zu schreiben, in der Sie ausführlich darlegen, was genau jetzt passiert, wie es passiert und was Sie erreichen möchten.

Alles, was ich jetzt mit einiger Sicherheit sagen kann, ist, dassSie können nicht iptablesein einzelnes Paket aus der Mitte eines TCP-Streams ausschneiden und erwarten, dass der Rest des Streams von der empfangenden Anwendung korrekt verarbeitet wird..

Answer 1

Dies ist auf Firewall-Ebene nicht möglich (aber Sie können es – aber Sie erreichen damit nicht das, was Sie sich vorstellen oder was Sie möchten). Das zweite Paket (das Sie wünschen) ist Teil desselben TCP-Streams wie das erste Paket (das Sie nicht möchten), und TCP ist ein zuverlässiger Übermittlungsmechanismus. Das bedeutet, dass das Betriebssystem erkennt, ob ein Paket in der Mitte des Streams verloren gegangen ist (anhand der Sequenznummer im Header jedes Pakets, siehe z. B.http://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structurefür mehr Informationen).

Wenn Sie ein Paket mitten in einem Stream herausfiltern, teilt der Kernel dem anderen Ende einfach weiterhin mit, dass ein Paket fehlt, und das andere Ende überträgt es erneut (dieses Verhalten sehen Sie bereits, beachten Sie die [TCP Retransmission]Markierungen oben). Wenn Sie diese erneuten Übertragungen weiterhin blockieren, wird der Stream desynchronisiert, die Verbindung wird unterbrochen und nichts im Stream wird verarbeitet.

Sie müssen dies auf der Anwendungsebene tun.

Bearbeitenein Kommentaraustausch zwischen uns beiden (von dem viele inzwischen gelöscht wurden) hat deutlich gemacht, dass die Frage möglicherweise nicht alle Details enthält, die sie enthalten sollte. Ich empfehle Ihnen, diese Frage zu schließen – entweder meine Antwort zu akzeptieren oder die gesamte Frage zu löschen – und eine neue zu schreiben, in der Sie ausführlich darlegen, was genau jetzt passiert, wie es passiert und was Sie erreichen möchten.

Alles, was ich jetzt mit einiger Sicherheit sagen kann, ist, dassSie können nicht iptablesein einzelnes Paket aus der Mitte eines TCP-Streams ausschneiden und erwarten, dass der Rest des Streams von der empfangenden Anwendung korrekt verarbeitet wird..

iptables-Regeln zum Blockieren bestimmter Pakete

Antwort1

verwandte Informationen