Mude o MSS em iptables

Question

Mude o MSS em iptables

#1 resposta do (0 votos)

2

Eu tenho duas configurações onde eu quero mudar o MSS em pacotes que fluem através de um sistema. No primeiro eu tenho enp2s0 e enp3s0 como uma ponte. Existe alguma maneira de fazer com que o iptables modifique o MSS no pacote de entrada antes de devolvê-lo?

[root@localhost network-scripts]# ip a s
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp1s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN qlen 1000
    link/ether 00:60:e0:6f:8c:62 brd ff:ff:ff:ff:ff:ff
3: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP qlen 1000
    link/ether 00:60:e0:6f:8c:63 brd ff:ff:ff:ff:ff:ff
4: enp0s31f6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:60:e0:6f:8c:61 brd ff:ff:ff:ff:ff:ff
    inet 192.168.5.248/24 brd 192.168.5.255 scope global enp0s31f6
       valid_lft forever preferred_lft forever
    inet6 fe80::1842:306e:fb55:fe3/64 scope link 
       valid_lft forever preferred_lft forever
5: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq master br0 state UP qlen 1000
    link/ether 00:60:e0:6f:8c:64 brd ff:ff:ff:ff:ff:ff
7: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP qlen 1000
    link/ether 00:60:e0:6f:8c:63 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::260:e0ff:fe6f:8c63/64 scope link 
       valid_lft forever preferred_lft forever
[root@localhost network-scripts]#

No meu segundo caso, tenho todo o tráfego definido para ir a um tun0 fictício que envia o tráfego para a fila 0, onde um snort como software analisa os pacotes.

root@pink:~/blue# iptables-save 
# Generated by iptables-save v1.6.0 on Sun Jan 14 13:22:07 2018
*raw
:PREROUTING ACCEPT [84:6848]
:OUTPUT ACCEPT [21:2348]
-A PREROUTING -i tun0 -j NFQUEUE --queue-num 0
COMMIT
# Completed on Sun Jan 14 13:22:07 2018
# Generated by iptables-save v1.6.0 on Sun Jan 14 13:22:07 2018
*filter
:INPUT ACCEPT [110838:165446612]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [87556:6202390]
COMMIT
# Completed on Sun Jan 14 13:22:07 2018
root@pink:~/blue#

Eu tentei este link , mas parece que não funcionava.

iptables linux-networking tcp

por Dovid Bender 14.01.2018 / 19:24

1 resposta

Tags iptables linux-networking tcp

liga mount / proc no contêiner do Docker com namespaces de usuário ativados Servidor sem gráficos executando VMs gráficas

score 0 · Answer 1

Você pode usar o alvo iptables do TCPMSS para modificar o valor do TCP MSS, ou seja, executar a fixação do MSS.

Para forçar um MSS específico (aqui: 800) use:

iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 800

Observe que isso fica um pouco complicado se você estiver usando o conntrack. Esta regra tem que vir antes da regra conntrack. Caso contrário, ele só funcionará para pacotes SYN, mas não para SYN ACKs, que serão aceitos pela conntrack antes de atingirem a regra TCPMSS.

Observe também que o clampeamento MSS é um hack e só é necessário se você tiver quebrado os aplicativos do usuário final.