[ubuntu-ar] [Bulk] Re: extraño problema con la navegación en internet

Mariano Reingart reingart at gmail.com
Wed Oct 13 13:29:13 BST 2010


2010/10/12 Alejandro Santos <listas at alejolp.com>:
> 2010/10/12 Mariano Reingart <reingart at gmail.com>:
>> 2010/10/12 Marcelo Fernandez <marcelo.fidel.fernandez at gmail.com>:
>>>
>>> Estaría bien esta solución también, el tema es que esto es stateless
>>> (sin estado), y podés dejar conexiones abiertas más tiempo de lo
>>> necesario (no siempre se cierran con FIN, y podés tirar un RST "de
>>> verdad" que era necesario que vaya a la conexión). Otro efecto de
>>> deshabilitar los RST de esta manera es si un sitio está caído o tiene
>>> el puerto cerrado el navegador va a quedar "esperando respuesta...."
>>> unos minutos (hasta que expire el timeout de recepción TCP).
>>
>> ¿Solo las establecidas será mejor?
>>
>> sudo iptables -A INPUT -p tcp --tcp-flags RST RST -m state --state
>> ESTABLISHED --source-port 80 -j DROP
>>
>> Debería mitigar un poco más los inconvenientes.
>>
>> Debe haber alguna solución con iptables y/o netfilter...
>>
>
> Pucha.. me ganaron de mano con iptables, hoy en el laburo pensaba
> hacer algo asi.
>
> Hammer of Thor levanta un timer de 0.33 segundos para esperar el
> cierre de conexion. Pasado ese limite, un cierre lo considera normal.
>
> Usando iptables se puede usar la combinacion de los modulos state y
> recent para hacer algo al estilo Thor (en tan solo 2 lineas de bash!
> :O):
>
> iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -m recent
> --set --name thor --rdest -j ACCEPT
> iptables -A INPUT -p tcp -m tcp --tcp-flag RST RST -m state --state
> ESTABLISHED -m recent --name thor --rcheck --rsource --seconds 1 -j
> DROP
>
> Con eso se detectan paquetes RST que estan dentro de 1 segundo desde
> que se inició la conexion. Pareceria que funciona ;D
>

Buenisimo, lo estoy probando y aparentemente funcionaría mejor
(siempre como una forma de mitigar el problema temporalmente, no como
solución definitiva), lo adjunto por si alguien tb lo quiere probar ya
que sale entrecortado en el mail:

sudo sh slowly.sh

Espero que Marcelo no se enoje porque en ese segundo inicial se puede
ignorar un reset de verdad :-), como mucho habrá algún timeout si no
me equivoco ¿no?

Por las dudas, para limpiar las reglas:

sudo iptables -F INPUT
sudo iptables -F OUTPUT

Sds

Mariano Reingart
http://www.sistemasagiles.com.ar
http://reingart.blogspot.com
-------------- next part --------------
A non-text attachment was scrubbed...
Name: slowly.sh
Type: application/x-sh
Size: 244 bytes
Desc: not available
Url : https://lists.ubuntu.com/archives/ubuntu-ar/attachments/20101013/017171a7/attachment.sh 


More information about the Ubuntu-ar mailing list