Blokowanie okre

Dominik137 · Post autor: **Dominik137** » 17 maja 2013, 19:05

Witam.
Mam taki problem, potrzebuję zablokować określoną grupę pakietów tcp, które docierają do mojego serwera na konkretny port. Są to trzy pakiety (po defragmentowane) różniące się długością (muszę je wyłapać z pośród wielu innych), by blokada zadziałała muszą te pakiety pojawić się w określonej kolejności pod rząd. Czy coś takiego jest możliwe za pomocą iptables, czy trzeba zainteresować się już systemem ami IDS?

Bastian · Post autor: **Bastian** » 17 maja 2013, 22:28

Generalnie za pomoća iptables jest to możliwe, lecz mało eleganckie wydajnościowo, gdyż będziesz kazał jądru zaglądać w każdy pakiet jaki przyjdzie. Chociaż to pewnie zależy jak duży jest ruch na tym serwerze. Jeśli nie jakiś duży to powinno być ok.

Dominik137 · Post autor: **Dominik137** » 19 maja 2013, 14:48

A jakieś wskazówki, ewentualnie, czym byłoby szybciej?

Bastian · Post autor: **Bastian** » 19 maja 2013, 23:23

Może squid z filtracją pakietów. Proxy na osobnej maszynie oczywiście.

Poradnik

Dominik137 · Post autor: **Dominik137** » 20 maja 2013, 16:24

Perspektywa z drugą maszyną wydaje się przekraczać budżet. Czy w iptables jest jakaś prosta regułka na to?

Post autor: **LordRuthwen** » 20 maja 2013, 17:15

Być może warstwa 7 by je wyłapała, ale poza tym to chyba ciężko będzie.

Bastian · Post autor: **Bastian** » 20 maja 2013, 20:12

Prostej reguły nie masz ale musisz skorzystać z modułu ,,string' dostępnego w iptables, i jest on właśnie w warstwie 7.

Blokowanie okre

Blokowanie określonej grupy pakietów tcp