[ubuntu-ar] [Bulk] Re: extraño problema con la navegación en internet
Marcelo Fernandez
marcelo.fidel.fernandez at gmail.com
Wed Oct 13 14:25:47 BST 2010
El día 13 de octubre de 2010 09:29, Mariano Reingart
<reingart en gmail.com> escribió:
> 2010/10/12 Alejandro Santos <listas en alejolp.com>:
>> 2010/10/12 Mariano Reingart <reingart en gmail.com>:
>>> 2010/10/12 Marcelo Fernandez <marcelo.fidel.fernandez en gmail.com>:
>>>>
>>>> Estaría bien esta solución también, el tema es que esto es stateless
>>>> (sin estado), y podés dejar conexiones abiertas más tiempo de lo
>>>> necesario (no siempre se cierran con FIN, y podés tirar un RST "de
>>>> verdad" que era necesario que vaya a la conexión). Otro efecto de
>>>> deshabilitar los RST de esta manera es si un sitio está caído o tiene
>>>> el puerto cerrado el navegador va a quedar "esperando respuesta...."
>>>> unos minutos (hasta que expire el timeout de recepción TCP).
>>>
>>> ¿Solo las establecidas será mejor?
>>>
>>> sudo iptables -A INPUT -p tcp --tcp-flags RST RST -m state --state
>>> ESTABLISHED --source-port 80 -j DROP
>>>
>>> Debería mitigar un poco más los inconvenientes.
>>>
>>> Debe haber alguna solución con iptables y/o netfilter...
>>>
>>
>> Pucha.. me ganaron de mano con iptables, hoy en el laburo pensaba
>> hacer algo asi.
>>
>> Hammer of Thor levanta un timer de 0.33 segundos para esperar el
>> cierre de conexion. Pasado ese limite, un cierre lo considera normal.
>>
>> Usando iptables se puede usar la combinacion de los modulos state y
>> recent para hacer algo al estilo Thor (en tan solo 2 lineas de bash!
>> :O):
>>
>> iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -m recent
>> --set --name thor --rdest -j ACCEPT
>> iptables -A INPUT -p tcp -m tcp --tcp-flag RST RST -m state --state
>> ESTABLISHED -m recent --name thor --rcheck --rsource --seconds 1 -j
>> DROP
>>
>> Con eso se detectan paquetes RST que estan dentro de 1 segundo desde
>> que se inició la conexion. Pareceria que funciona ;D
>>
>
> Buenisimo, lo estoy probando y aparentemente funcionaría mejor
> (siempre como una forma de mitigar el problema temporalmente, no como
> solución definitiva), lo adjunto por si alguien tb lo quiere probar ya
> que sale entrecortado en el mail:
>
> sudo sh slowly.sh
>
> Espero que Marcelo no se enoje porque en ese segundo inicial se puede
> ignorar un reset de verdad :-), como mucho habrá algún timeout si no
> me equivoco ¿no?
No, no me enojo, al contrario, gracias a uds. :-)
Y sí, puede haber una conexión que tarde mucho más de lo que debería. :-P
Saludos
--
Marcelo F. Fernández
Buenos Aires, Argentina
Licenciado en Sistemas - CCNA
E-Mail: marcelo.fidel.fernandez en gmail.com
Blog: http://blog.marcelofernandez.info
Twitter: http://twitter.com/fidelfernandez
More information about the Ubuntu-ar
mailing list