Qual é o significado do estado UNCLEAN no iptables?

2

Qual é o significado do estado UNCLEAN no iptables?

Exemplo:

iptables -A INPUT -m conntrack --ctstate UNCLEAN -j DROP

Isso realmente me dá um erro, mas deve existir um estado impuro.

Além disso, qual é a diferença e conexão com o estado INVÁLIDO?

    
por Vlastimil 17.05.2016 / 08:16

1 resposta

2

UNCLEAN:

  • A correspondência UNCLEAN não tem opções e não exige mais que explicitamente carregá-lo quando quiser usá-lo. Note que esta opção é considerado experimental e pode não funcionar em todos os momentos, nem ele cuida de todos os pacotes ou problemas não limpos. A partida impura tenta corresponder pacotes que parecem malformados ou incomuns, como pacotes com maus cabeçalhos ou checksums e assim por diante. Isso poderia ser usado para DROP connections e para verificar streams ruins, por exemplo; no entanto, você deve estar ciente de que poderia quebrar legal conexões.

  • Como uma observação: foi removido há um tempo atrás (desculpe, não me lembro exatamente quando, mas eu acredito que foi com o início da árvore 2.6.x). Eles citaram o fato que não estava sendo usado corretamente e a implementação não foi o que eles queriam de qualquer maneira. Algo para esse efeito. Deve estar em um dos changelogs 2.6.x eu acho.

INVALID: Referidos de

  • O estado INVALID significa que o pacote não pode ser identificado ou não possui nenhum estado. Isso pode ser devido a várias razões, como o sistema com falta de memória ou mensagens de erro ICMP que não respondem a nenhuma conexão conhecida. Geralmente, é uma boa idéia DROP tudo neste estado.
  • A regra com INVALID state descartará todos os pacotes com cabeçalhos ou somas de verificação inválidas, sinalizadores TCP inválidos, mensagens ICMP inválidas (como uma porta inacessível quando não enviamos nada ao host) e pacotes fora de seqüência que podem ser causado por predição de sequência ou outros ataques semelhantes. O alvo DROP derrubará um pacote sem resposta alguma, ao contrário do REJECT que recusa educadamente o pacote. Usamos DROP porque não há uma resposta REJECT adequada aos pacotes que são INVALID e não queremos reconhecer que recebemos esses pacotes.
por 17.05.2016 / 08:42

Tags