Reglas de iptables para bloquear paquetes específicos

Question

No puede hacer esto en la capa del firewall (bueno, puede hacerlo, pero no logrará lo que cree ni lo que desea). El segundo paquete (que desea) es parte del mismo flujo TCP que el primer paquete (que no desea), y TCP es un mecanismo de entrega confiable. Eso significa que el sistema operativo sabe si un paquete en medio del flujo ha desaparecido (en virtud del número de secuencia en el encabezado de cada paquete, consulte, por ejemplo).http://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structurepara más información).

Si filtra un paquete en medio de una secuencia, el kernel simplemente seguirá avisando al otro extremo que falta un paquete, y el otro extremo seguirá retransmitiéndolo (comportamiento que ya está viendo, tenga en cuenta los [TCP Retransmission]marcadores de arriba). Si continúa bloqueando esas retransmisiones, la transmisión se desincronizará, se cortará la conexión y no se procesará nada en la transmisión.

Tendrás que hacer esto en la capa de aplicación.

Editarun intercambio de comentarios entre nosotros dos (muchos de los cuales han sido eliminados desde entonces) ha dejado en claro que es posible que la pregunta no contenga todos los detalles que debería. Le recomiendo que cierre esta pregunta (acepte mi respuesta o elimine toda la pregunta) y escriba una nueva en la que exponga con considerable detalle qué sucede exactamente ahora, cómo sucede y qué desea lograr.

Todo lo que puedo decir ahora, con cierta confianza, es queno se puede utilizar iptablespara cortar un solo paquete de la mitad de una secuencia TCP y esperar que la aplicación receptora procese correctamente el resto de esa secuencia.

Answer 1

No puede hacer esto en la capa del firewall (bueno, puede hacerlo, pero no logrará lo que cree ni lo que desea). El segundo paquete (que desea) es parte del mismo flujo TCP que el primer paquete (que no desea), y TCP es un mecanismo de entrega confiable. Eso significa que el sistema operativo sabe si un paquete en medio del flujo ha desaparecido (en virtud del número de secuencia en el encabezado de cada paquete, consulte, por ejemplo).http://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structurepara más información).

Si filtra un paquete en medio de una secuencia, el kernel simplemente seguirá avisando al otro extremo que falta un paquete, y el otro extremo seguirá retransmitiéndolo (comportamiento que ya está viendo, tenga en cuenta los [TCP Retransmission]marcadores de arriba). Si continúa bloqueando esas retransmisiones, la transmisión se desincronizará, se cortará la conexión y no se procesará nada en la transmisión.

Tendrás que hacer esto en la capa de aplicación.

Editarun intercambio de comentarios entre nosotros dos (muchos de los cuales han sido eliminados desde entonces) ha dejado en claro que es posible que la pregunta no contenga todos los detalles que debería. Le recomiendo que cierre esta pregunta (acepte mi respuesta o elimine toda la pregunta) y escriba una nueva en la que exponga con considerable detalle qué sucede exactamente ahora, cómo sucede y qué desea lograr.

Todo lo que puedo decir ahora, con cierta confianza, es queno se puede utilizar iptablespara cortar un solo paquete de la mitad de una secuencia TCP y esperar que la aplicación receptora procese correctamente el resto de esa secuencia.

Reglas de iptables para bloquear paquetes específicos

Respuesta1

información relacionada