Eurotel CDMA: nahla smrt spojeni

Petr Pisar petr.pisar na atlas.cz
Neděle Září 3 19:54:48 CEST 2006


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

websevak na gmail.com wrote:
> Modem je pripojen pres USB na
> Linuxovy firewall (NAT). Za firewallem mam domaci sit (2 az 3 pocitace
> Win, Linux).
[...]
> Behem analyzy jsem si uvedomil, ze vlastne za NATem jsou stanice, ktere
> maji jiz sestavene nejake TCP spojeni a tudiz se snazi do Internetu
> propasovat sve treba keep-alive pakety. Tyto ovsem muj NAT neprelozi
> (protoze po nove nastartovanem spojeni dostal jinou IP adresu a nezna
> pro tuto IP stavy ) a posle je eurotelackemu routeru se zdrojovou
> adresou me vnitrni site.
[...]
> #!/bin/sh
> /sbin/iptables -F OUTPUT
> /sbin/iptables -A OUTPUT -o ppp0 -s \! $PPP_LOCAL -j DROP
> 
Za routerem mate sit, takze musite jeste zahazovat INVALID pakety ve
FORWARD retezci. Napr.

iptables -I FORWARD -m state --state INVALID -j RESET

Ucinnost muzete otestovat programem hping, kterym odeslete paket, ktery
nebude NEW (napr. TCP s ACK).

- -- Petr
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (GNU/Linux)

iD8DBQFE+xbouR4f4nEwzHIRAjEsAJ9IXsVgakWaaTZ8lX6+c8fnJE58iACggKI/
hdDPUZBw8PqUGTQwHUNLWUw=
=2rTF
-----END PGP SIGNATURE-----



Další informace o konferenci Linux