[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Giugno 2005 ml@sikurezza.org Soggetto: Re: [ml] iptables, stato delle connesioni e pacchetti "dimenticati " o persi Mittente: Fabio Panigatti Data: Mon, 27 Jun 2005 17:40:24 +0200 (CEST)
> Ho avuto lo stesso problema fino a qualche tempo fa con il passaggio > al kernel 2.6. [...] Probabilmente perche' in questo passaggio non sei passato solo da un kernel all'altro, ma anche a una release superiore (2.2) dell'helper ip_conntrack_proto_tcp; nella fattispece quella col window tracking, storicamente una patch ma ormai di default negli ultimi 2.6. > if [ -e /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal ]; then > echo 1 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal > fi Cosi' facendo disabiliti il tcp window tracking, per l'appunto. Come conseguenza avrai una possibile riduzione di INVALID con conseguente possibile riduzione dei log, ma al prezzo d'avere un fw maggiormente permissivo (e ora che sono diventati "di moda" questi attacchi blind alle connessioni tcp, avere dei firewall che vanno in FIN_WAIT, o in CLOSE senza neanche guardare il numero di sequenza del FIN o RST del caso, potrebbe meritare almeno una riflessione in piu'). Fabio
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005