[ubuntu-ar] [Bulk] Re: extraño problema con la navegación en internet
Mariano Reingart
reingart at gmail.com
Tue Oct 12 23:14:00 BST 2010
2010/10/12 Marcelo Fernandez <marcelo.fidel.fernandez at gmail.com>:
> El día 12 de octubre de 2010 16:00, Mariano Reingart
> <reingart at gmail.com> escribió:
>> 2010/10/12 leo fishman <leofishman at gmail.com>:
>>
>> ¿Y si ignoramos los RST del todo?
>>
>> sudo iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -j DROP
>> # (para ignorarlos silenciosamente)
>>
>> o
>>
>> sudo iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -j REJECT
>> # (para informarle a speedy que no los aceptamos...)
>>
>> algo más específico (aclaro que mi manejo de IPTABLES esta un poco
>> desactualizado):
>> iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST --source-port 80 -j DROP
>>
>> Lo estoy probando y parece una solución provisoria viable (aunque no
>> es optimo ni muy standard-friendly/compilant), y funciona porque al
>> parecer el proxy de speedy tambien los ignora (ya que posiblemente
>> sean falsos -forged-...)
>>
>
> Estaría bien esta solución también, el tema es que esto es stateless
> (sin estado), y podés dejar conexiones abiertas más tiempo de lo
> necesario (no siempre se cierran con FIN, y podés tirar un RST "de
> verdad" que era necesario que vaya a la conexión). Otro efecto de
> deshabilitar los RST de esta manera es si un sitio está caído o tiene
> el puerto cerrado el navegador va a quedar "esperando respuesta...."
> unos minutos (hasta que expire el timeout de recepción TCP).
¿Solo las establecidas será mejor?
sudo iptables -A INPUT -p tcp --tcp-flags RST RST -m state --state
ESTABLISHED --source-port 80 -j DROP
Debería mitigar un poco más los inconvenientes.
Debe haber alguna solución con iptables y/o netfilter...
Sds
Mariano Reingart
http://www.sistemasagiles.com.ar
http://reingart.blogspot.com
More information about the Ubuntu-ar
mailing list