iptables drop через string

0

2

есть небольшая проблема, правило в iptables вроде

INPUT -p tcp -m multiport --dports 80,443 -m string --string «l0xpox» --algo kmp -j DROP

отлично все режется, в логах апача нет ничего почти, но вот соединений выдется куча кучная

2816 ESTABLISHED

я так понимаю режется уже хттп запрос, а открытое соединение остается, можно ли убить весь коннект, а не только 1 пакет?

Ссылка

←	Поиск информации о токенах и.т.п

[iptables]конфигурация для «домашнего» использования

→

А если делать -j REJECTED?

roy ★★★★★
(27.11.11 15:08:29 MSK)

Ответ на: комментарий от roy 27.11.11 15:08:29 MSK

что-то поискал REJECTED, не нашел :)

а вот простой REJECT естесстенно пробовал, ничего не менялось.

тут нужно немного другое, что дроп, что реджект, отбрасывает пакет, а нужено закрыть все соединение.

может знает кто обходные пути?

gooftime
(27.11.11 16:46:01 MSK) автор топика

Ответ на: комментарий от gooftime 27.11.11 16:46:01 MSK

Да, опечатался. Вообще реджект пакета на установку соединения и не должен открывать это соединение. А точно эти ESTABLISHED соединения относятся к дропнутым пакетам? Может это вполне нормальные соединения, прошедшие через фильтр?

roy ★★★★★
(27.11.11 16:51:59 MSK)

Ответ на: комментарий от roy 27.11.11 16:51:59 MSK

> Вообще реджект пакета на установку соединения и не должен открывать это соединение

Только в данном случае соединение уже установлено, REJECT/DROP-то делается уже по содержимому HTTP-сессии, которая идет по этому соединению

YAR ★★★★★
(27.11.11 16:59:19 MSK)

Ссылка

Ответ на: комментарий от gooftime 27.11.11 16:46:01 MSK

-j REJECT --reject-with tcp-reset

The tcp-reset option will tell REJECT to send a TCP RST packet in reply to the sending host. TCP RST packets are used to close open TCP connections gracefully.

http://www.linuxtopia.org/Linux_Firewall_iptables/x4550.html

roy ★★★★★
(27.11.11 17:41:36 MSK)