Linux 如何使所有输出RST下降
我正在尝试删除所有端口上的所有传出RST和传入RST。我正在使用DebianLinux。我尝试了互联网上列出的所有可能的命令组合,但似乎没有任何效果 例如,我尝试:Linux 如何使所有输出RST下降,linux,networking,tcp,linux-kernel,iptables,Linux,Networking,Tcp,Linux Kernel,Iptables,我正在尝试删除所有端口上的所有传出RST和传入RST。我正在使用DebianLinux。我尝试了互联网上列出的所有可能的命令组合,但似乎没有任何效果 例如,我尝试: iptables -A OUTPUT -o eth0 -p tcp --tcp-flags RST RST -j DROP iptables -A OUTPUT -p tcp --tcp-flags RST RST -j DROP iptables -A INPUT -p tcp --tcp-flags RST RST -m s
iptables -A OUTPUT -o eth0 -p tcp --tcp-flags RST RST -j DROP
iptables -A OUTPUT -p tcp --tcp-flags RST RST -j DROP
iptables -A INPUT -p tcp --tcp-flags RST RST -m state --state RELATED,ESTABLISHED -j DROP
iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
我仍然看到内核发送RST数据包,同时也接收RST数据包。请尝试解决此问题嗯,这很可能是通过正向链而不是输入或输出链进行的,因为您在主机上运行此操作 调试的一个技巧是使用iptables-L-v,如果您设置了一个命令来发送大量这样的数据包,它将显示每个规则的数据包数
watch --interval 0.1 "nc remote.machine CLOSED_PORT"
iptables -L -v -t nat
了解虚拟主机的IP地址会很有用,因为如果该地址与您的网络子网不相交,则可能会被NAT。重置数据包会激活RST和ACK标志。 因此,正确的规则是:
iptables-I输入-p tcp--tcp标记所有RST、ACK-j DROPecho 0 > /proc/sys/net/ipv4/tcp_rst_retries
echo 0 > /proc/sys/net/ipv4/tcp_rst_timeout
如果您希望丢弃入站RST数据包,则需要执行以下操作:
iptables -I INPUT -p tcp --tcp-flags ALL RST,ACK -j DROP
iptables -I INPUT -p tcp --tcp-flags ALL RST -j DROP
iptables -I OUTPUT -p tcp --tcp-flags ALL RST,ACK -j DROP
如果您希望丢弃出站RST数据包,则需要执行以下操作:
iptables -I INPUT -p tcp --tcp-flags ALL RST,ACK -j DROP
iptables -I INPUT -p tcp --tcp-flags ALL RST -j DROP
iptables -I OUTPUT -p tcp --tcp-flags ALL RST,ACK -j DROP
如果您试图使用Scapy之类的工具来试验IP行为,则通常需要防止主机的IP堆栈发回RST ACK。或者,您可以在Scapy中实现一个伪堆栈,声明MAC,响应IPv6的ARP或ICMP ND,并绑定您自己的IP地址,这也将阻止主机堆栈响应。显然,这不仅仅是阻止出站RST数据包的工作。状态跟踪
-m state——与状态相关的、已建立的输入输出