Re: [ml] Stateful Tracking options

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2007 ml@sikurezza.org
Soggetto: Re: [ml] Stateful Tracking options
Mittente: whiplash
Data: Thu, 29 Nov 2007 19:01:25 +0100 (CET)

Marco Barbero ha scritto:

> Mi chiedevo se era possibile ottenere un risultato analogo con
> netfilter iptables, pensavo in particolare all'estensione 'recent', ma
> ho qualche dubbio anche perche' se non erro iptables non effettua un
> real stateful filtering...

E' da un bel pezzo che il filtering stateful di netfilter tiene in
considerazione anche il window tracking; puoi anche "configurare" la
cosa con la sysctl
net.ipv4.netfilter.ip_conntrack_tcp_be_liberal
che consente di considerare, se settata a 1, come INVALID solo i
pacchetti tcp con flag RST, se out of window.
Ciò premesso, dai un'occhiata a limit e ad hashlimit, oltre che alla
citata recent.

In risposta a:
- [ml] Stateful Tracking options, Marco Barbero

Data:
- precedente: Re: [ml] Liste RBL, Marco d'Itri
- successivo: Re: [ml] Problema ssh?, Marco Bonetti
- indice

Argomento:
- precedente: [ml] Stateful Tracking options, Marco Barbero
- successivo: [ml] Liste RBL, Gelpi Andrea
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005