Estou executando um aplicativo que injeta as regras de controle de conexão do iptables no kernel para que a máquina possa encaminhar o tráfego UDP de entrada para o seu destino o mais rápido possível.
Parte do tráfego recebido nesta máquina não está de acordo com as especificações e a parte receptora nem sempre está lidando com esse tráfego como deveria. Infelizmente, o fornecedor de hardware de envio diz que não há nada de errado com o que eles estão enviando e o fornecedor do partido receptor diz que o remetente nunca deve enviar tráfego assim, então eu estou preso no meio tentando resolver um problema.
O servidor em que tenho controle total sobre o tráfego usa o controle de conexão do iptables para encaminhar o tráfego de uma parte de envio para a parte de recebimento usando a entrada de outro aplicativo. O tráfego ofensivo é facilmente reconhecível, é o único tráfego que usa a carga útil UDP de comprimento 0 enviada pela parte de envio.
Como posso ter certeza de que minha regra iptables descarta o tráfego incorreto está sendo acionada antes de a conntrack encaminhar as mensagens UDP?
Usando iptables -A INPUT -p udp --dport 50000:60000 -m length --length 8 -j DROP não funciona, os pacotes ainda fluem pela máquina. Eu também tentei com um comprimento de 8 (o tamanho do cabeçalho UDP), mas o resultado é o mesmo.
Como Timothy Baldwin sugeriu, o filtro deveria estar na cadeia FORWARD. O parâmetro length não funciona na carga UDP ou no tamanho do pacote, mas no comprimento do pacote IP naturalmente
Portanto, o comando que funciona é iptables -A FORWARD -p udp --dport 50000:60000 -m length --length 28 -j DROP , em que o comprimento é de 20 bytes para o IP e 8 para o cabeçalho UDP
Para filtrar o tráfego que está sendo encaminhado, você precisa da cadeia FORWARD, a cadeia INPUT é para o tráfego destinado ao sistema no qual a regra está ativada.