Iptables: hung -p udp --state THÀNH LẬP

hãy xem hai quy tắc iptables này thường được sử dụng để cho phép DNS đi:

iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 
   -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp --sport 53 --dport 1024:65535
   -m state --state ESTABLISHED -j ACCEPT

Câu hỏi của tôi là: Làm thế nào chính xác tôi nên hiểu trạng thái THÀNH LẬP trong UDP? UDP là không quốc tịch.

Đây là trực giác của tôi - Tôi muốn biết, nếu hoặc nơi này không chính xác:

Trang người đàn ông nói với tôi điều này:

tiểu bang

Mô-đun này, khi được kết hợp với theo dõi kết nối, cho phép truy cập vào
trạng thái theo dõi kết nối cho gói này.

  --tiểu bang ...

Vì vậy, về cơ bản, iptables nhớ số cổng được sử dụng cho gói gửi đi (nó có thể nhớ gì khác cho gói UDP?) , Và sau đó cho phép gói đến đầu tiên được gửi lại trong một khung thời gian ngắn? Kẻ tấn công sẽ phải đoán số cổng (điều đó có thực sự quá khó không?)

Về việc tránh xung đột:

Hạt nhân theo dõi các cổng nào bị chặn (bởi các dịch vụ khác hoặc bởi các gói UDP gửi đi trước đó), để các cổng này sẽ không được sử dụng cho các gói DNS gửi đi mới trong khung thời gian? (Điều gì sẽ xảy ra, nếu tôi vô tình cố gắng bắt đầu một dịch vụ trên cổng đó trong khung thời gian - liệu nỗ lực đó có bị từ chối / chặn không?)

Vui lòng tìm tất cả các lỗi trong văn bản trên :-) Cảm ơn,

Chris

Vì vậy, về cơ bản, iptables ghi nhớ số cổng được sử dụng cho gói gửi đi (nó có thể nhớ gì khác cho gói UDP?),

Tôi khá chắc chắn cho UDP, các cổng và địa chỉ nguồn và đích được lưu trữ.

Nếu bạn muốn kiểm tra các bảng trạng thái cài đặt conntrack và / hoặc netstat-nat.

(Điều gì sẽ xảy ra, nếu tôi vô tình cố gắng bắt đầu một dịch vụ trên cổng đó trong khung thời gian - liệu nỗ lực đó có bị từ chối / chặn không?)

Vì bạn đang sử dụng OUTPUT và INPUT, bạn đang nói về các dịch vụ địa phương. Cổng đã được sử dụng Tôi không tin hệ thống của bạn sẽ cho phép bạn khởi động một dịch vụ khác vì có gì đó đã lắng nghe trên cổng đó. Tôi đoán bạn có thể dừng dịch vụ đầu tiên và bắt đầu dịch vụ khác nếu bạn thực sự muốn, trong trường hợp đó, phản hồi có thể sẽ đến dịch vụ của bạn. Dịch vụ làm gì với gói phụ thuộc vào nội dung của gói là gì và dịch vụ đó là gì.

NB: Câu trả lời này đã được chỉnh sửa.

Mặc dù những gì người đàn ông nói, ESTABLISHEDdường như có nghĩa là "trạng thái". Đối với UDP có nghĩa đơn giản là (như bạn đề xuất) ghi nhớ từng gói UDP bên ngoài ("src ip, src port dst ip, dst port" tuple) trong một thời gian và nhận ra phản hồi của nó.

FWIW, các quy tắc thông thường của tôi đối với lưu lượng DNS sẽ giống như thế này:

# permit any outbound DNS request (NB: TCP required too)
iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53  -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 53  -j ACCEPT

# accept any packet that's a response to anything we sent
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

tức là kiểm soát lưu lượng trên OUTPUTchuỗi, và sau đó để các iptablesmô đun trạng thái xử lý mọi thứ khác trên INPUTchuỗi.

Xem thêm câu hỏi liên quan này .

Các nhà phát triển iptables đã xem xét rằng trạng thái "THÀNH LẬP" là tình huống khi các gói tin được nhìn thấy theo cả hai hướng bất kể giao thức giữa hai máy khách.

phần mở rộng nhà nước là một phần của conntrack. Nhân hiểu trạng thái từ bảng

/proc/net/nf_conntrack

Ví dụ về các trạng thái iptable cho UDP trong bảng nf_conntrack từ quan điểm của người gửi. Hãy tưởng tượng bạn gửi một truy vấn DNS trên UDP

udp   17 20 src=192.168.1.2 dst=192.168.1.10 sport=35237 dport=53 \
 [UNREPLIED] src=192.168.1.10 dst=192.168.1.2 sport=53 \
 dport=35237 use=1

Một gói đã được gửi. Nó không được áp dụng và oh, bảng có dữ liệu cho những gì được mong đợi trả lại (gói cho câu trả lời DNS).

udp   17 20 src=192.168.1.2 dst=192.168.1.10 sport=35237 dport=53 \
  src=192.168.1.10 dst=192.168.1.2 sport=53 \
 dport=35237 use=1

Câu trả lời đã đến, cờ chưa được giải thích đã biến mất, điều đó có nghĩa là kết nối UDP này ở trạng thái THÀNH LẬP trong một khoảng thời gian nhỏ được xác định trong hệ thống của bạn.