Jump to content

Последствия фильтрации TCP-RST пакетов?

Sector_nn
 Share

Recommended Posts

Sector_nn

Sector_nn

Posted
Posted

Всем привет!

 

Уважаемые господа, подскажите насколько и чем чревата фильтрация всех входящих TCP/443-пакетов c RST-флагом на маршрутизаторе небольшой корпоративной сети?

Думаю многие поняли, о чём идёт речь, и по-этому сразу оговорюсь, что маршрутизатор - MikroTik и проверять в заголовках Flag, Identification, Frame Sequence он не умеет к сожалению =(

Sector_nn

Sector_nn

Posted
  • Author
Posted
59 минут назад, m0xf сказал:

А по TTL правило возможно создать? Обычно это поле получается фиксированным.

По TTL можно, но я так понял оно не отличается от TTL других пакетов..

myth

myth

Posted
Posted

В случае с Extfilter, например, seq тоже будет правильным. И резет уходит в обе стороны. Так что обойти блокировку таким образом едва ли получится...

Sector_nn

Sector_nn

Posted
  • Author
Posted
24 минуты назад, myth сказал:

В случае с Extfilter, например, seq тоже будет правильным. И резет уходит в обе стороны. Так что обойти блокировку таким образом едва ли получится...

У меня - только в одну )

orlik

orlik

Posted
Posted
6 hours ago, Sector_nn said:

Думаю многие поняли, о чём идёт речь,

Ну а для остальных поясните , в чем смысл отфильтровывать rst пакеты ? как уже написал @myth, у вас соединения будут отсыхать по таймауту , и на сильно нагруженных серверах может сказаться на предоставлении сервиса

YuryD

YuryD

Posted
Posted
6 минут назад, alibek сказал:

Я вначале подумал, что это защита от NetBIOS (порт 445). Но видимо речь об обходе блокировок.

443- нттпс, человек по китайски решил защититься. Типа я rst не принимаю, и всё будет в шоколаде. Нормальный блокировщик rst в обе стороны отправит.

Sector_nn

Sector_nn

Posted
  • Author
Posted (edited)

Кстати по поводу горы TCP-сессий висящих и отвала по таймауту: разве в нормальном режиме сессия не по TCP FIN завершается? RST я так понял в каких-то исключительных и нечастых случаях высылается. Пришла идея ещё попробовать следующий match-ер задействовать:

Цитата

connection-bytes (integer-integer; Default: )    Matches packets only if a given amount of bytes has been transfered through the particular connection. 0 - means infinity, for example connection-bytes=2000000-0 means that the rule matches if more than 2MB has been transfered through the relevant connection

 

Edited by Sector_nn
Ivan_83

Ivan_83

Posted
Posted
В 18.04.2018 в 12:16, Sector_nn сказал:

Уважаемые господа, подскажите насколько и чем чревата фильтрация всех входящих TCP/443-пакетов c RST-флагом на маршрутизаторе небольшой корпоративной сети?

Нашёл где спросить :)))))

Тут же почти никого нет кто в TCP стёках копался.

 

Чревато это тем, что у тебя некоторые соединения будут отваливаться не сразу а по таймауту.

Ну и лучше бы ты их резал только  снаружи и только с определённым ттл, чтобы причинять себе чуточку меньше дискомфорта от тамаутов.

Под таймаутами я понимаю что у тебя браузер скажем не сразу выдаст ошибку а будет морозится сколько там у него в настройках написано, обычно больше минуты не ставят.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.