[ubuntu-ar] [Bulk] Re: extraño problema con la navegación en internet

Mariano Reingart reingart at gmail.com
Tue Oct 12 23:14:00 BST 2010


2010/10/12 Marcelo Fernandez <marcelo.fidel.fernandez at gmail.com>:
> El día 12 de octubre de 2010 16:00, Mariano Reingart
> <reingart at gmail.com> escribió:
>> 2010/10/12 leo fishman <leofishman at gmail.com>:
>>
>> ¿Y si ignoramos los RST del todo?
>>
>> sudo iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -j DROP
>> # (para ignorarlos silenciosamente)
>>
>> o
>>
>> sudo iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -j REJECT
>> # (para informarle a speedy que no los aceptamos...)
>>
>> algo más específico (aclaro que mi manejo de IPTABLES esta un poco
>> desactualizado):
>> iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST --source-port 80  -j DROP
>>
>> Lo estoy probando y parece una solución provisoria viable (aunque no
>> es optimo ni muy standard-friendly/compilant), y funciona porque al
>> parecer el proxy de speedy tambien los ignora (ya que posiblemente
>> sean falsos -forged-...)
>>
>
> Estaría bien esta solución también, el tema es que esto es stateless
> (sin estado), y podés dejar conexiones abiertas más tiempo de lo
> necesario (no siempre se cierran con FIN, y podés tirar un RST "de
> verdad" que era necesario que vaya a la conexión). Otro efecto de
> deshabilitar los RST de esta manera es si un sitio está caído o tiene
> el puerto cerrado el navegador va a quedar "esperando respuesta...."
> unos minutos (hasta que expire el timeout de recepción TCP).

¿Solo las establecidas será mejor?

sudo iptables -A INPUT -p tcp --tcp-flags RST RST -m state --state
ESTABLISHED --source-port 80 -j DROP

Debería mitigar un poco más los inconvenientes.

Debe haber alguna solución con iptables y/o netfilter...

Sds

Mariano Reingart
http://www.sistemasagiles.com.ar
http://reingart.blogspot.com



More information about the Ubuntu-ar mailing list