Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Ħαℓ₸℮ℵ ␏⫢ ⦚ 24. 04. 2024, 21:16:37

Název: Pravidlo iptables vracející RST
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 24. 04. 2024, 21:16:37

Existuje něco jako iptables -j <CO?>  reject-with-rst ? Pro případy INPUT a FORWARD, což je důležitý. 
* V případě input : Aby to mělo vyšší váhu bez ohledu ,zda na soketu něco poslouchá. Protože, pokud něco poslouchá, dostane se spojení k procesu. (killnout proces nepřipadá v úvahu) .
* V případě FORWARD  kromě toho že je situace jiná nevím, jestli na cílovám pc něco běží.
** Pokud ne, vrátí se zpět  RST, teoreticky by šlo nějak blokovat RST  (v tom případě se nevrátí nic)
** Pokud tam něco běží, RST se proforwarduje
** Pokud ale se chce spojit s neexistující ip adresou v známé podstíti a nebo i v neznámém rozsahu, nevrátí se nic

Existuje nějaké pravidlo, který by vrátilo RST ?

Prohledal jsem man iptables a iptables-extensions a nic
Případně co určuje. Mám pocit, že Windows na neobsloužený TCP port reaguje nijak(=ignorací/DROP). Linux Přes RST.
Pokud navěsím iptables - -j DROP,  či reject, tak se RST už nedočkám, ICMP ho převálcuje.

A je nějaký systém , který posílá Obojí (RST + ICMP)?
Příklad internetový prohlížeč, zadána klasicky http:něco:80
Chovají se nějak aplikace jinak v případě, že přijde zpět RST a ICMP ? (RST  je známo, ale jak s ICMP)
"Dostane" se k aplikací browseru ICMP paket ? Dostane nemyslím v tom striktním smyslu, ale zda
Nebo ICMP  může zaregistrovat pouze OS (a monitorují jej nějak či logují)?
Nebo je ICMP (podskupina .. unreachable,down) čistě jen věc, kterou nic nezpracovává?
Když odhlédnu, že budu(e) mít puštěný tcpdump -ni interface icmp

PS: a existuje syntaktická fruktoza -I INPUT+FORWARD: Umí třeba tohle nftables?

Název: Re:iptables -I FORWARD/INPUT -j ? --reject-with-rst
Přispěvatel: Marvin 24. 04. 2024, 21:38:06

--reject-with tcp-reset

Název: Re:Pravidlo iptables vracející RST
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 26. 04. 2024, 13:51:07

 :o Ale byl jsem blízko !

Název: Re:Pravidlo iptables vracející RST
Přispěvatel: Wasper 27. 04. 2024, 03:29:15

Citace: Ħαℓ₸℮ℵ ␏⫢ ⦚  26. 04. 2024, 13:51:07

:o Ale byl jsem blízko !

Nechci být zlý nebo tak něco, ale u nás, unixáků, bejvá zvykem si prvně projet RTFM, teda man iptables, tam je zmínka na target REJECT a na konci na iptables-extensions(8), kde to všechno je, hezky popsané.

Název: Re:Pravidlo iptables vracející RST
Přispěvatel: Ħαℓ₸℮ℵ ␏⫢ ⦚ 27. 04. 2024, 12:11:27

No vždyť. Já jsem si ten man četl, sekci REJECT ,, reject-with, ale jen první větu  :'(.

Citace

              The type given  can  be  icmp-net-unreachable,  icmp-host-unreachable,  icmp-port-unreachable,
              icmp-proto-unreachable,  icmp-net-prohibited,  icmp-host-prohibited,  or icmp-admin-prohibited
              (*), which return the appropriate ICMP error message (icmp-port-unreachable is  the  default).
              The option tcp-reset can be used on rules which only match the TCP protocol: this causes a TCP