É possível truncar pacotes usando o iptables?

1

A primeira coisa em mente ao configurar um novo servidor Linux (dedicado ou VPS) é como você pode aumentar a segurança. Eu queria saber se é possível usar iptables para truncar icmp pacotes.

Se você enviar um pacote usando a opção ping -s -s significa o tamanho do pacote.

#>ping www.google.com -s 100
PING www.google.com (216.58.209.164) 100(128) bytes of data.
72 bytes from bud02s21-in-f164.1e100.net (216.58.209.164): icmp_seq=1 ttl=56 (truncated)
72 bytes from bud02s21-in-f164.1e100.net (216.58.209.164): icmp_seq=2 ttl=56 (truncated)

Você vê como eu tentei enviar pacotes de 100 bytes e como o Google foi elegantemente truncado para esses 72 bytes em troca.

É possível usar o iptables para fazer o mesmo? Talvez usando alguns módulos do iptables ...

    
por prosti 12.02.2016 / 11:52

1 resposta

0

Do que eu pesquisei no meu kernel 4.2.0, que pode não ser o mais recente ... link

não há um módulo de destino do iptables (netfilter) chamado xt-TRUNCATE.h, ou xt-CUT.h que faria o trabalho de truncar pacotes provável e idealmente em algum lugar na tabela mangle.

Demorei um pouco para analisar também o link para confirmar isso.

No entanto, o processo para criar esse módulo não deve ser super difícil. Seriam necessárias 200 linhas de código ou menos, já que isso parece uma média para todos os módulos alvo do iptables.

    
por 13.02.2016 / 18:56