аналог BSD'шного blackhole в Linux

0

0

Во FreeBSD при выставлении net.inet.tcp.blackhole=2 и net.inet.udp.blackhole=1, на попытки подключиться к закрытым портам клиенту не отсылается RST (tcp) и ICMP port unreachable (udp). FreeBSD blackhole man page

Как подобное правильно реализовать в Linux?

Ссылка

←	PPTPD + Debian/Ubuntu

MRK rootkit

→

man iptables. Действие -j DROP. -j TARPIT как вариант.

ef37 ★★
(23.09.09 17:11:46 UTC)

Ответ на: комментарий от ef37 23.09.09 17:11:46 UTC

man iptables. Действие -j DROP. -j TARPIT как вариант.

Это понятно. Конкретный пример: Работает торрент-клиент, всё пучком. Закрываю клиент, пиры какое-то время продолжают бомбить меня по UDP, на что мой ящик отвечает ICMP port unreachable.

1. Как iptables узнают, что я выключил клиент и теперь соединения можно отшивать?

2. При включении как они узнают, на какой порт соединения можно принимать, если порт при запуске выбирается случайно?

Торрент-клиент - это лишь пример, интересует общая концепция.

Marmirus ★★
(23.09.09 19:32:10 UTC) автор топика

Ссылка

iptables -I OUTPUT -p icmp --icmp-type icmp-port-unreachable -j DROP
iptables -I OUTPUT -p tcp --tcp-flags RST RST -j DROP

// Каков вопрос, таков и ответ

nnz ★★★★
(23.09.09 21:17:49 UTC)

Ссылка

в некоторых случаях поможет естаблишед, ирлейтед.

chocholl ★★
(24.09.09 04:22:30 UTC)

Ссылка

линукс тоже так делает, только сокет не должен быть открытым или в любом *_WAIT, так что можешь потвикать эти таймера чтоб он закрывался быстрее.

chocholl ★★
(24.09.09 09:10:37 UTC)

Ссылка

че-то я реально потерялся в своих мыслях... Спасибо всем, всё понятно.

Marmirus ★★
(24.09.09 19:49:19 UTC) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	PPTPD + Debian/Ubuntu

Admin

MRK rootkit

→

Похожие темы