[ubuntu-ar] [Bulk] Re: extraño problema con la navegación en internet
Marcelo Fernandez
marcelo.fidel.fernandez at gmail.com
Tue Oct 12 23:56:39 BST 2010
El día 12 de octubre de 2010 19:14, Mariano Reingart
<reingart en gmail.com> escribió:
> 2010/10/12 Marcelo Fernandez <marcelo.fidel.fernandez en gmail.com>:
>> El día 12 de octubre de 2010 16:00, Mariano Reingart
>> <reingart en gmail.com> escribió:
>>> 2010/10/12 leo fishman <leofishman en gmail.com>:
>>>
>>> ¿Y si ignoramos los RST del todo?
>>>
>>> sudo iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -j DROP
>>> # (para ignorarlos silenciosamente)
>>>
>>> o
>>>
>>> sudo iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST -j REJECT
>>> # (para informarle a speedy que no los aceptamos...)
>>>
>>> algo más específico (aclaro que mi manejo de IPTABLES esta un poco
>>> desactualizado):
>>> iptables -A INPUT -p tcp -m tcp --tcp-flags RST RST --source-port 80 -j DROP
>>>
>>> Lo estoy probando y parece una solución provisoria viable (aunque no
>>> es optimo ni muy standard-friendly/compilant), y funciona porque al
>>> parecer el proxy de speedy tambien los ignora (ya que posiblemente
>>> sean falsos -forged-...)
>>>
>>
>> Estaría bien esta solución también, el tema es que esto es stateless
>> (sin estado), y podés dejar conexiones abiertas más tiempo de lo
>> necesario (no siempre se cierran con FIN, y podés tirar un RST "de
>> verdad" que era necesario que vaya a la conexión). Otro efecto de
>> deshabilitar los RST de esta manera es si un sitio está caído o tiene
>> el puerto cerrado el navegador va a quedar "esperando respuesta...."
>> unos minutos (hasta que expire el timeout de recepción TCP).
>
> ¿Solo las establecidas será mejor?
>
> sudo iptables -A INPUT -p tcp --tcp-flags RST RST -m state --state
> ESTABLISHED --source-port 80 -j DROP
No, porque lo que pasa con Speedy es que te manda el RST
instantáneamente después luego del saludo de 3 vías, alrededor de
~30ms. Si en lugar de eso te manda datos (ACK+PSH generalmente), la
conexión "es buena". Si luego de varios pedacitos de datos recibís un
RST, es más probable que sea un cierre de conexión o RST "real". A eso
me refería con "estado".
> Debe haber alguna solución con iptables y/o netfilter...
Quizás haya algún módulo de netfilter que permita modelar esto que digo.
Saludos
--
Marcelo F. Fernández
Buenos Aires, Argentina
Licenciado en Sistemas - CCNA
E-Mail: marcelo.fidel.fernandez en gmail.com
Blog: http://blog.marcelofernandez.info
Twitter: http://twitter.com/fidelfernandez
More information about the Ubuntu-ar
mailing list