Рейтинг:0

Имеют ли правила iptables контроль над необработанными пакетами сокетов?

флаг us

Программа, которую я использую, создает некоторые TCP-соединения, используя режим необработанных пакетов. Допустим, я выполнил эти две команды:

/sbin/iptables -A INPUT -s 8.0.0.0/8 -j DROP
/sbin/iptables -A ВЫВОД -d 8.0.0.0/8 -j УДАЛИТЬ

Можно ли предположить, что никакие пакеты не будут отправлены в эту сеть?

флаг us
Rob
Различные модули netfilter (iptables/nftables/ebtables и другие) взаимодействуют со стеком Linux TCP/IP, но необработанные сокеты более или менее полностью обходят этот стек TCP/IP, поэтому я не удивлен, что вы не можете использовать хост на основе брандмауэра для блокировки трафика в/из необработанных сокетов.
Рейтинг:0
флаг us

Похоже, что это, к сожалению, не работает. Вот как я проверил. Используем два сервера — 1.1.1.1 и 2.2.2.2. 1.1.1.1 будет отправлять пакеты, 2.2.2.2 будет слушать.

Для начала настроим сниффинг на 2.2.2.2:

➢ ~ sudo tcpdump -vv 'источник 1.1.1.1'
tcpdump: прослушивание на eth0, тип ссылки EN10MB (Ethernet), размер захвата 262144 байт

Теперь давайте отправим пакет на порт 995 на этот IP:

$ zmap --whitelist-file=<(эхо 2.2.2.2) -p 995 -n 1

Как и ожидалось, мы видим трафик с 1.1.1.1 на 2.2.2.2:

11:18:49.330632 IP (tos 0x0, ttl 250, id 54321, смещение 0, флаги [нет], proto TCP (6), длина 40)
    1.1.1.1.47495 > 2.2.2.2.pop3s: флаги [S], cksum 0x5e8a (верно), seq 4248475135, win 65535, длина 0
11:18:49.331688 IP (tos 0x0, ttl 59, id 0, смещение 0, флаги [DF], proto TCP (6), длина 40)
    1.1.1.1.47495 > 2.2.2.2.pop3s: флаги [R], cksum 0x5e87 (верно), seq 4248475136, win 0, длина 0

Теперь давайте попробуем заблокировать это на 1.1.1.1 и повторить проверку:

$ /sbin/iptables -A ВЫВОД -d 2.2.2.2 -j УДАЛИТЬ
$ zmap --whitelist-file=<(эхо 2.2.2.2) -p 995 -n 1

К сожалению, мы видим еще некоторые данные tcpdump. Это означает, что это не сработало.

В конце концов я решил проблему на другом уровне, используя функциональность брандмауэра моего облачного провайдера.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.