[ubuntu-ar] [Bulk] Re: extraño problema con la navegación en internet
Marcelo Fernandez
marcelo.fidel.fernandez at gmail.com
Tue Oct 12 20:20:39 BST 2010
El día 12 de octubre de 2010 16:00, Mariano Reingart
<reingart en gmail.com> escribió:
> 2010/10/12 leo fishman <leofishman en gmail.com>:
>
> ¿Y si ignoramos los RST del todo?
>
> sudo iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -j DROP
> # (para ignorarlos silenciosamente)
>
> o
>
> sudo iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -j REJECT
> # (para informarle a speedy que no los aceptamos...)
>
> algo más específico (aclaro que mi manejo de IPTABLES esta un poco
> desactualizado):
> iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST --source-port 80 -j DROP
>
> Lo estoy probando y parece una solución provisoria viable (aunque no
> es optimo ni muy standard-friendly/compilant), y funciona porque al
> parecer el proxy de speedy tambien los ignora (ya que posiblemente
> sean falsos -forged-...)
>
Estaría bien esta solución también, el tema es que esto es stateless
(sin estado), y podés dejar conexiones abiertas más tiempo de lo
necesario (no siempre se cierran con FIN, y podés tirar un RST "de
verdad" que era necesario que vaya a la conexión). Otro efecto de
deshabilitar los RST de esta manera es si un sitio está caído o tiene
el puerto cerrado el navegador va a quedar "esperando respuesta...."
unos minutos (hasta que expire el timeout de recepción TCP).
La solución del proxy es mejor (insisto no ví el código, sólo lo
supongo), ya que sólo luego e iniciar la conexión este chequea que se
reciba un ACK con datos y no un RST. Luego, si se recibe un RST, que
vaya al cliente, no problem; éstos son los que con la solución
firewall tirás y en realidad necesitás que fluyan.
Saludos
--
Marcelo F. Fernández
Buenos Aires, Argentina
Licenciado en Sistemas - CCNA
E-Mail: marcelo.fidel.fernandez en gmail.com
Blog: http://blog.marcelofernandez.info
Twitter: http://twitter.com/fidelfernandez
More information about the Ubuntu-ar
mailing list