Jump to content
Калькуляторы

Последствия фильтрации TCP-RST пакетов?

Reply to this topic

Sector_nn   

Sector_nn
Posted

Всем привет!

 

Уважаемые господа, подскажите насколько и чем чревата фильтрация всех входящих TCP/443-пакетов c RST-флагом на маршрутизаторе небольшой корпоративной сети?

Думаю многие поняли, о чём идёт речь, и по-этому сразу оговорюсь, что маршрутизатор - MikroTik и проверять в заголовках Flag, Identification, Frame Sequence он не умеет к сожалению =(

Share this post

Link to post
Share on other sites

Sector_nn   

Sector_nn
Posted
59 минут назад, m0xf сказал:

А по TTL правило возможно создать? Обычно это поле получается фиксированным.

По TTL можно, но я так понял оно не отличается от TTL других пакетов..

Share this post

Link to post
Share on other sites

myth   

myth
Posted

В случае с Extfilter, например, seq тоже будет правильным. И резет уходит в обе стороны. Так что обойти блокировку таким образом едва ли получится...

Share this post

Link to post
Share on other sites

Sector_nn   

Sector_nn
Posted
24 минуты назад, myth сказал:

В случае с Extfilter, например, seq тоже будет правильным. И резет уходит в обе стороны. Так что обойти блокировку таким образом едва ли получится...

У меня - только в одну )

Share this post

Link to post
Share on other sites

orlik   

orlik
Posted
6 hours ago, Sector_nn said:

Думаю многие поняли, о чём идёт речь,

Ну а для остальных поясните , в чем смысл отфильтровывать rst пакеты ? как уже написал @myth, у вас соединения будут отсыхать по таймауту , и на сильно нагруженных серверах может сказаться на предоставлении сервиса

Share this post

Link to post
Share on other sites

YuryD   

YuryD
Posted
6 минут назад, alibek сказал:

Я вначале подумал, что это защита от NetBIOS (порт 445). Но видимо речь об обходе блокировок.

443- нттпс, человек по китайски решил защититься. Типа я rst не принимаю, и всё будет в шоколаде. Нормальный блокировщик rst в обе стороны отправит.

Share this post

Link to post
Share on other sites

Sector_nn   

Sector_nn
Posted (edited)

Кстати по поводу горы TCP-сессий висящих и отвала по таймауту: разве в нормальном режиме сессия не по TCP FIN завершается? RST я так понял в каких-то исключительных и нечастых случаях высылается. Пришла идея ещё попробовать следующий match-ер задействовать:

Цитата

connection-bytes (integer-integer; Default: )    Matches packets only if a given amount of bytes has been transfered through the particular connection. 0 - means infinity, for example connection-bytes=2000000-0 means that the rule matches if more than 2MB has been transfered through the relevant connection

 

Edited by Sector_nn

Share this post

Link to post
Share on other sites

Ivan_83   

Ivan_83
Posted
В 18.04.2018 в 12:16, Sector_nn сказал:

Уважаемые господа, подскажите насколько и чем чревата фильтрация всех входящих TCP/443-пакетов c RST-флагом на маршрутизаторе небольшой корпоративной сети?

Нашёл где спросить :)))))

Тут же почти никого нет кто в TCP стёках копался.

 

Чревато это тем, что у тебя некоторые соединения будут отваливаться не сразу а по таймауту.

Ну и лучше бы ты их резал только  снаружи и только с определённым ттл, чтобы причинять себе чуточку меньше дискомфорта от тамаутов.

Под таймаутами я понимаю что у тебя браузер скажем не сразу выдаст ошибку а будет морозится сколько там у него в настройках написано, обычно больше минуты не ставят.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...