Правила iptables для блокировки определенных пакетов

Question

Вы не можете сделать это на уровне брандмауэра (ну, вы можете - но это не даст того, что вы думаете, и того, чего вы хотите). Второй пакет (который вы хотите) является частью того же потока TCP, что и первый пакет (который вам не нужен), и TCP - надежный механизм доставки. Это означает, что ОС знает, если пакет в середине потока пропал (благодаря порядковому номеру в заголовке каждого пакета, см. напримерhttp://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structureЧтобы получить больше информации).

Если вы отфильтруете пакет в середине потока, ядро просто продолжит сообщать другому концу, что пакет отсутствует, и другой конец продолжит его ретранслировать (поведение, которое вы уже видите, обратите внимание на маркеры [TCP Retransmission]выше). Если вы продолжите блокировать эти ретрансляции, поток станет десинхронизированным, соединение будет разорвано, и ничего в потоке не будет обработано.

Это придется сделать на уровне приложения.

Редактироватьобмен комментариями между нами двумя (большая часть которого была впоследствии удалена) ясно показал, что вопрос может не содержать всех деталей, которые он должен был бы содержать. Я рекомендую вам закрыть этот вопрос — либо принять мой ответ, либо удалить весь вопрос — и написать новый, в котором вы подробно изложите, что именно происходит сейчас, как это происходит и чего вы хотите добиться.

Все, что я могу сейчас сказать с некоторой уверенностью, это то, чтонельзя использовать iptablesдля вырезания одного пакета из середины потока TCP и ожидать, что остальная часть этого потока будет правильно обработана принимающим приложением.

Answer 1

Вы не можете сделать это на уровне брандмауэра (ну, вы можете - но это не даст того, что вы думаете, и того, чего вы хотите). Второй пакет (который вы хотите) является частью того же потока TCP, что и первый пакет (который вам не нужен), и TCP - надежный механизм доставки. Это означает, что ОС знает, если пакет в середине потока пропал (благодаря порядковому номеру в заголовке каждого пакета, см. напримерhttp://en.wikipedia.org/wiki/Transmission_Control_Protocol#TCP_segment_structureЧтобы получить больше информации).

Если вы отфильтруете пакет в середине потока, ядро просто продолжит сообщать другому концу, что пакет отсутствует, и другой конец продолжит его ретранслировать (поведение, которое вы уже видите, обратите внимание на маркеры [TCP Retransmission]выше). Если вы продолжите блокировать эти ретрансляции, поток станет десинхронизированным, соединение будет разорвано, и ничего в потоке не будет обработано.

Это придется сделать на уровне приложения.

Редактироватьобмен комментариями между нами двумя (большая часть которого была впоследствии удалена) ясно показал, что вопрос может не содержать всех деталей, которые он должен был бы содержать. Я рекомендую вам закрыть этот вопрос — либо принять мой ответ, либо удалить весь вопрос — и написать новый, в котором вы подробно изложите, что именно происходит сейчас, как это происходит и чего вы хотите добиться.

Все, что я могу сейчас сказать с некоторой уверенностью, это то, чтонельзя использовать iptablesдля вырезания одного пакета из середины потока TCP и ожидать, что остальная часть этого потока будет правильно обработана принимающим приложением.

Правила iptables для блокировки определенных пакетов

решение1

Связанный контент