Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[gelöst] TCP-Reset abschalten

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Horst Meier
Newbie
Newbie
Beiträge: 3
Registriert: 24. Jan 2007, 18:55

[gelöst] TCP-Reset abschalten

Beitrag von Horst Meier » 25. Feb 2008, 12:58

Hallo Leute,

ich habe mir auf meinem OpenSUSE 10.3 das Tool hping3 installiert, um eine Hardware-Firewall zu testen.
Konkret möchte ich damit TCP-Sessions auf- und abbauen und dabei verschiedene Parameter manipulieren.
An folgendem Problem hänge ich momentan fest:
Auf mein mit hping erzeugtes TCP-Syn-Paket antwortet das Zielsystem korrekt mit einem Syn/Ack-Paket, dann drängelt sich aber der Linux-Kernel vor und sendet einen TCP-Reset, weil er nichts von der TCP-Session weiß.
Das Problem ist u.a. hier http://www.eggdrop.ch/texts/hping/ beschrieben, als Abhilfe wird eine Kernelmodifikation genannt.
An welcher Stelle kann ich das geschilderte Verhalten (Senden von TCP-Resets für unbekannte TCP-Sessions) im Kernel abschalten?

Gruß
Horst
Zuletzt geändert von Horst Meier am 9. Mär 2008, 13:04, insgesamt 1-mal geändert.

Werbung:
jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 29. Feb 2008, 20:43

Wie wäre es mit iptables -A INPUT -p tcp --tcp-flags SYN,ACK,RST,FIN RST -j DROP? (Aber nur zum Test, denn es beeinträchtigt u.U. "das Internet"!)
Alternativ auf der Gegenseite im OUTPUT-Chain RSTs verwerfen.

Horst Meier
Newbie
Newbie
Beiträge: 3
Registriert: 24. Jan 2007, 18:55

Beitrag von Horst Meier » 9. Mär 2008, 13:03

Mit iptables -A INPUT -p tcp --tcp-flags SYN,ACK,RST,FIN RST -j DROP komme ich nicht weiter, auf das Syn/Ack-Paket wird weiterhin ein Rst-Paket gesendet.
Stattdessen habe ich mit folgenden Firewallregeln Erfolg gehabt:
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j ACCEPT
iptables -A OUTPUT -j ACCEPT

Mit diesen Einstellungen geht dann allerdings tatsächlich so gut wie nix anderes mehr, aber für meinen Anwendungszweck ist das OK.

Gruß
Horst

Antworten