Tcp 允许入站连接但不允许入站流量的IPTables
当前正在尝试设置iptables,以允许客户端连接到服务器,通过TCP侦听消息流。问题是,我们希望在连接后阻止客户端发送任何消息(在这种情况下,如果客户端是DROP,则可以) 是否有一种方法允许客户端仅连接并强制执行从服务器到客户端的单向通信Tcp 允许入站连接但不允许入站流量的IPTables,tcp,iptables,Tcp,Iptables,当前正在尝试设置iptables,以允许客户端连接到服务器,通过TCP侦听消息流。问题是,我们希望在连接后阻止客户端发送任何消息(在这种情况下,如果客户端是DROP,则可以) 是否有一种方法允许客户端仅连接并强制执行从服务器到客户端的单向通信 需要在iptables(没有类似于软件代理的解决方案)中完全工作。这里要解决的主要问题是,我们不能在建立连接后关闭来自客户端的所有流量,因为TCP是一种肯定的确认协议。如果服务器没有从客户端接收到ACK,它将重新传输,并最终超时。在下面的内容中,我将假设我
需要在iptables(没有类似于软件代理的解决方案)中完全工作。这里要解决的主要问题是,我们不能在建立连接后关闭来自客户端的所有流量,因为TCP是一种肯定的确认协议。如果服务器没有从客户端接收到ACK,它将重新传输,并最终超时。在下面的内容中,我将假设我们正在使用IPV4 因此,我们要做的是允许建立连接,然后只允许来自客户端的确认,即不包含TCP负载的数据包 不幸的是,TCP有效负载的长度没有在中显式表示。我们可以尝试在中使用总长度,但由于IP报头和TCP报头都包含可变长度选项字段,因此这一点很复杂,因此有许多可能的总长度是在没有有效负载的情况下确定的 由于IP选项很少使用且通常经过过滤,让我们先删除IP头中包含选项的所有数据包(如果您的防火墙还没有这样做的话),从而简化事情。详细讨论了这样做的含义 为此,我们将删除服务器的所有通信量(此处为10.2.3.4:1234),其中IP报头长度(IP报头中字节0的第4-7位)不是5:
iptables -A INPUT -p tcp -d 10.2.3.4 --dport 1234 \
-m u32 --u32 "0>>24&0xF=6:0xF" -j DROP
iptablesu32iptables -A INPUT -p tcp -d 10.2.3.4 --dport 1234 \
--tcp-flags SYN SYN -j ACCEPT
iptables -A INPUT -p tcp -d 10.2.3.4 --dport 1234 \
-m u32 --u32 "32>>28=5 && 0&0xFFFF=40" -j ACCEPT
iptables -A INPUT -p tcp -d 10.2.3.4 --dport 1234 \
-m u32 --u32 "32>>28=8 && 0&0xFFFF=52" -j ACCEPT