regras do iptables para bloquear pacotes específicos

Question

Você não pode fazer isso na camada do firewall (bem, você pode - mas não realizará o que você pensa, nem o que deseja). O segundo pacote (que você deseja) faz parte do mesmo fluxo TCP do primeiro pacote (que você não deseja) e o TCP é um mecanismo de entrega confiável. Isso significa que o sistema operacional sabe se um pacote no meio do fluxo desapareceu (em virtude do número de sequência no cabeçalho de cada pacote, veja, por exemplo,http://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structurePara maiores informações).

Se você filtrar um pacote no meio de um fluxo, o kernel simplesmente continuará informando a outra extremidade que um pacote está faltando, e a outra extremidade continuará retransmitindo-o (comportamento que você já está vendo, observe os [TCP Retransmission]marcadores acima). Se você continuar a bloquear essas retransmissões, o stream ficará dessincronizado, a conexão será interrompida e nada no stream será processado.

Você terá que fazer isso na camada de aplicação.

Editaruma troca de comentários entre nós dois (muitos dos quais já foram excluídos) deixou claro que a pergunta pode não conter todos os detalhes que deveria. Recomendo que você feche esta pergunta - aceite minha resposta ou exclua a pergunta inteira - e escreva uma nova onde descreva com detalhes consideráveis o que exatamente acontece agora, como acontece e o que você deseja alcançar.

Tudo o que posso dizer agora, com alguma confiança, é quevocê não pode usar iptablespara cortar um único pacote do meio de um fluxo TCP e esperar que o restante desse fluxo seja processado corretamente pelo aplicativo receptor.

Answer 1

Você não pode fazer isso na camada do firewall (bem, você pode - mas não realizará o que você pensa, nem o que deseja). O segundo pacote (que você deseja) faz parte do mesmo fluxo TCP do primeiro pacote (que você não deseja) e o TCP é um mecanismo de entrega confiável. Isso significa que o sistema operacional sabe se um pacote no meio do fluxo desapareceu (em virtude do número de sequência no cabeçalho de cada pacote, veja, por exemplo,http://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structurePara maiores informações).

Se você filtrar um pacote no meio de um fluxo, o kernel simplesmente continuará informando a outra extremidade que um pacote está faltando, e a outra extremidade continuará retransmitindo-o (comportamento que você já está vendo, observe os [TCP Retransmission]marcadores acima). Se você continuar a bloquear essas retransmissões, o stream ficará dessincronizado, a conexão será interrompida e nada no stream será processado.

Você terá que fazer isso na camada de aplicação.

Editaruma troca de comentários entre nós dois (muitos dos quais já foram excluídos) deixou claro que a pergunta pode não conter todos os detalhes que deveria. Recomendo que você feche esta pergunta - aceite minha resposta ou exclua a pergunta inteira - e escreva uma nova onde descreva com detalhes consideráveis o que exatamente acontece agora, como acontece e o que você deseja alcançar.

Tudo o que posso dizer agora, com alguma confiança, é quevocê não pode usar iptablespara cortar um único pacote do meio de um fluxo TCP e esperar que o restante desse fluxo seja processado corretamente pelo aplicativo receptor.

regras do iptables para bloquear pacotes específicos

Responder1

informação relacionada