Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

[gelöst] TCP-Reset abschalten

Alles rund um die Systemverwaltung, die Administration und Konfiguration Eures Linuxsystems

Moderator: Moderatoren

Antworten
Horst Meier
Newbie
Newbie
Beiträge: 3
Registriert: 24. Jan 2007, 18:55

[gelöst] TCP-Reset abschalten

Beitrag von Horst Meier » 25. Feb 2008, 12:58

Hallo Leute,

ich habe mir auf meinem OpenSUSE 10.3 das Tool hping3 installiert, um eine Hardware-Firewall zu testen.
Konkret möchte ich damit TCP-Sessions auf- und abbauen und dabei verschiedene Parameter manipulieren.
An folgendem Problem hänge ich momentan fest:
Auf mein mit hping erzeugtes TCP-Syn-Paket antwortet das Zielsystem korrekt mit einem Syn/Ack-Paket, dann drängelt sich aber der Linux-Kernel vor und sendet einen TCP-Reset, weil er nichts von der TCP-Session weiß.
Das Problem ist u.a. hier http://www.eggdrop.ch/texts/hping/ beschrieben, als Abhilfe wird eine Kernelmodifikation genannt.
An welcher Stelle kann ich das geschilderte Verhalten (Senden von TCP-Resets für unbekannte TCP-Sessions) im Kernel abschalten?

Gruß
Horst
Zuletzt geändert von Horst Meier am 9. Mär 2008, 13:04, insgesamt 1-mal geändert.

Werbung:
jengelh
Guru
Guru
Beiträge: 4039
Registriert: 20. Nov 2004, 17:42
Kontaktdaten:

Beitrag von jengelh » 29. Feb 2008, 20:43

Wie wäre es mit iptables -A INPUT -p tcp --tcp-flags SYN,ACK,RST,FIN RST -j DROP? (Aber nur zum Test, denn es beeinträchtigt u.U. "das Internet"!)
Alternativ auf der Gegenseite im OUTPUT-Chain RSTs verwerfen.

Horst Meier
Newbie
Newbie
Beiträge: 3
Registriert: 24. Jan 2007, 18:55

Beitrag von Horst Meier » 9. Mär 2008, 13:03

Mit iptables -A INPUT -p tcp --tcp-flags SYN,ACK,RST,FIN RST -j DROP komme ich nicht weiter, auf das Syn/Ack-Paket wird weiterhin ein Rst-Paket gesendet.
Stattdessen habe ich mit folgenden Firewallregeln Erfolg gehabt:
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j ACCEPT
iptables -A OUTPUT -j ACCEPT

Mit diesen Einstellungen geht dann allerdings tatsächlich so gut wie nix anderes mehr, aber für meinen Anwendungszweck ist das OK.

Gruß
Horst

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 4 Gäste