Sector_nn Опубликовано 18 апреля, 2018 · Жалоба Всем привет! Уважаемые господа, подскажите насколько и чем чревата фильтрация всех входящих TCP/443-пакетов c RST-флагом на маршрутизаторе небольшой корпоративной сети? Думаю многие поняли, о чём идёт речь, и по-этому сразу оговорюсь, что маршрутизатор - MikroTik и проверять в заголовках Flag, Identification, Frame Sequence он не умеет к сожалению =( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 апреля, 2018 · Жалоба Включите, узнаете. Я вообще не знаю, зачем на маршрутизаторе небольшой корпоративной сети входящие tcp. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m0xf Опубликовано 18 апреля, 2018 · Жалоба А по TTL правило возможно создать? Обычно это поле получается фиксированным. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sector_nn Опубликовано 18 апреля, 2018 · Жалоба 59 минут назад, m0xf сказал: А по TTL правило возможно создать? Обычно это поле получается фиксированным. По TTL можно, но я так понял оно не отличается от TTL других пакетов.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 18 апреля, 2018 · Жалоба В случае с Extfilter, например, seq тоже будет правильным. И резет уходит в обе стороны. Так что обойти блокировку таким образом едва ли получится... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sector_nn Опубликовано 18 апреля, 2018 · Жалоба 24 минуты назад, myth сказал: В случае с Extfilter, например, seq тоже будет правильным. И резет уходит в обе стороны. Так что обойти блокировку таким образом едва ли получится... У меня - только в одну ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 18 апреля, 2018 · Жалоба Тогда - гора висящих TCP коннектов. Они будут отсыхать по таймауту, но... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 18 апреля, 2018 · Жалоба 6 hours ago, Sector_nn said: Думаю многие поняли, о чём идёт речь, Ну а для остальных поясните , в чем смысл отфильтровывать rst пакеты ? как уже написал @myth, у вас соединения будут отсыхать по таймауту , и на сильно нагруженных серверах может сказаться на предоставлении сервиса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 апреля, 2018 · Жалоба Я вначале подумал, что это защита от NetBIOS (порт 445). Но видимо речь об обходе блокировок. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 18 апреля, 2018 · Жалоба 6 минут назад, alibek сказал: Я вначале подумал, что это защита от NetBIOS (порт 445). Но видимо речь об обходе блокировок. 443- нттпс, человек по китайски решил защититься. Типа я rst не принимаю, и всё будет в шоколаде. Нормальный блокировщик rst в обе стороны отправит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 18 апреля, 2018 · Жалоба 3 часа назад, Sector_nn сказал: У меня - только в одну ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sector_nn Опубликовано 19 апреля, 2018 (изменено) · Жалоба Кстати по поводу горы TCP-сессий висящих и отвала по таймауту: разве в нормальном режиме сессия не по TCP FIN завершается? RST я так понял в каких-то исключительных и нечастых случаях высылается. Пришла идея ещё попробовать следующий match-ер задействовать: Цитата connection-bytes (integer-integer; Default: ) Matches packets only if a given amount of bytes has been transfered through the particular connection. 0 - means infinity, for example connection-bytes=2000000-0 means that the rule matches if more than 2MB has been transfered through the relevant connection Изменено 19 апреля, 2018 пользователем Sector_nn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 19 апреля, 2018 · Жалоба В 18.04.2018 в 12:16, Sector_nn сказал: Уважаемые господа, подскажите насколько и чем чревата фильтрация всех входящих TCP/443-пакетов c RST-флагом на маршрутизаторе небольшой корпоративной сети? Нашёл где спросить :))))) Тут же почти никого нет кто в TCP стёках копался. Чревато это тем, что у тебя некоторые соединения будут отваливаться не сразу а по таймауту. Ну и лучше бы ты их резал только снаружи и только с определённым ттл, чтобы причинять себе чуточку меньше дискомфорта от тамаутов. Под таймаутами я понимаю что у тебя браузер скажем не сразу выдаст ошибку а будет морозится сколько там у него в настройках написано, обычно больше минуты не ставят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...