iptables -A INPUT -f -j DROP 丢弃碎片规则无效

最新推荐文章于 2023-12-28 09:03:05 发布
最新推荐文章于 2023-12-28 09:03:05 发布
阅读量1.6k 收藏
点赞数
分类专栏: tcp/ip详解 文章标签: linux
原文链接:https://ask.csdn.net/questions/1059469
版权

参考网址:https://ask.csdn.net/questions/1059469

练习iptables的攻击规则,发现如下的命令无效。
iptabled -A INPUT -f -j DROP

测试
win10: 192.168.0.2
linux: 192.168.0.5
测试1:无分片的报文
win10# ping 192.168.0.5 -->可以ping通 
测试2:带分片的报文
win10# ping 192.168.0.5 -l 3000 -->可以ping通 
测试3:linux过滤分片的报文
linux# iptables -A INPUT -f -j DROP
win10# ping 192.168.0.5 -l 3000 -->依旧可以ping通 
linux# iptables -nvL
Chain INPUT (policy ACCEPT 6729 packets, 8666K bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 DROP       all  -f  *      *       0.0.0.0/0            0.0.0.0/0
可以发现,规则没有匹配到任何一个报文。

网上找到关于 -f 分片的说明:

iptables -A INPUT -f
Dropping IP fragments is probably obsolete advice: the Linux kernel can and will automatically re-assemble and sanity-check all fragments as needed anyway. This happens before packets are handled by iptables connection tracking, so it is likely this rule may never match anything.

找到kernel 对于碎片整理的代码

p_input.c
ip_rcv()
{
    return NF_HOOK(NFPROTO_IPV4, NF_INET_PRE_ROUTING,
               net, NULL, skb, dev, NULL,
               ip_rcv_finish);
}
net/ipv4/netfilter/nf_defrag_ipv4.c
static struct nf_hook_ops ipv4_defrag_ops[] = {
    {
        .hook       = ipv4_conntrack_defrag,
        .pf     = NFPROTO_IPV4,
        .hooknum    = NF_INET_PRE_ROUTING,          #注册的链
        .priority   = NF_IP_PRI_CONNTRACK_DEFRAG,   #优先级
    }

发现defrag(碎片整理) 在PRE_ROUTING chain处理的,优先于INPUT chain 处理。
猜想可能是defrag导致 iptables -f无效,于是在ubuntu上做如下验证。

猜想验证:
linux
#kernel配置文件
/usr/src/linux-headers-4.4.0-148-generic/.config
CONFIG_NF_DEFRAG_IPV4=m
lsmod|grep nf_defrag_ipv4 #确认没有加载此模块
win10:
win10# ping 192.168.0.5 -l 3000 -->依旧可以ping通
 
Linux# iptables -nvL #发现依旧匹配没有匹配到数据包
验证结论:与defrag 功能无关。

计划:
看iptables -f 在netfilter 处理逻辑的,代码是否调用到相关的函数。

问题:
请问大家,相关的背景,原理。
针对测试,有相关的解决解决方案。

2020/03/20 更新

测试环境变更
win10: 192.168.0.2
Getway: 10.110.14.5
Dest_IP:10.110.14.16
分析:
1.报文分析
win10# ping xxx -l 3000 -n 1
一共发出三个报文,wireshark 抓到信息
No1 tcp ip.len=1500 flag=0x2000
No2 tcp ip.len=1500 flag=0x2000
No3 icmp ip.len=68 flag=0x0x72
2.linux调试
kernel/net/ip_input.c
int ip_rcv()
{
    ...
    if((iph->protocol == 1) && ip_is_fragment(iph)){
        printk("xxx find icmp frag len=%d id=%x s%x d%x\n",ntohs(iph->tot_len),ntohs(iph->id),
                ntohs(iph->saddr),ntohs(iph->daddr));
    }
}
可以打印出这个三个报文。
3.验证1:iptables 是否能匹配到这三个报文。
在iptables PREROUTING, INPUT添加如下规则
iptables -t mangle -A PREROUTING  -s 192.168.0.2 -d 10.110.14.16 -j LOG --log-prefix "11 mangle"
iptables -t mangle -A PREROUTING  -s 192.168.0.2 -d 10.110.14.16 -f -j LOG --log-prefix "12 mangle"
iptables -t nat -A PREROUTING  -s 192.168.0.2 -d 10.110.14.16 -j LOG --log-prefix "22 nat"
iptables  -I INPUT 10 -s 192.168.0.2 -d 10.110.14.16 -j LOG --log-prefix "33 filt"
dmesg 打印log:
[ 3188.325756] 11 mangleIN=BR_LAN OUT= MAC=d8:6c:a1:2f:37:a7:e8:4e:06:66:93:50:08:00 SRC=192.168.0.2 DST=10.110.14.16 LEN=3028 TOS=0x00 PREC=0x00 TTL=128 ID=22063 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=2847
[ 3188.343275] 22 natIN=BR_LAN OUT= MAC=d8:6c:a1:2f:37:a7:e8:4e:06:66:93:50:08:00 SRC=192.168.0.2 DST=10.110.14.16 LEN=3028 TOS=0x00 PREC=0x00 TTL=128 ID=22063 PROTO=ICMP TYPE=8 CODE=0 ID=1 SEQ=2847
验证结论:
1.对比第1,2条规则:
  1.ID=22063(分片报文标志MF 0x2000)说明分片报文。
  2.-f 无法匹配ip报文MF标志位。
  3.defrag的优先级是高于mangle PREROUTING的,此处LEN=3028应该是完整报文(待验证)。但No1,No2两个分片报文确认没有匹配。
2.对比第1,4规则:
  1.此处验证有误,由于是getway,需要在FORWARD中匹配。
4.验证2:直接在ip_rcv中丢弃报文
kernel/net/ip_input.c
int ip_rcv()
{
    ...
    if((iph->protocol == 1) && ip_is_fragment(iph)){
        printk("xxx find icmp frag len=%d id=%x s%x d%x\n",ntohs(iph->tot_len),ntohs(iph->id),
                ntohs(iph->saddr),ntohs(iph->daddr));
+       goto drop;
    }
}
win10# ping xxx -l 3000 -n 1
结果:ping failed
 
验证结论:
1.使用ip_is_fragment() 判断可行。
计划:
1.此处修改不符合规范,暂定使用iptable 新增模块来实现。
2.很好奇-f 到底是如何匹配报文,暂未找到代码实现。

2020/03/24 更新
解决方法

echo 0 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 0 > /proc/sys/net/ipv4/ipfrag_high_thresh

Change fragments buffer to 0. Drop fragments packages.

总结:其实就是两种解决方法

方法一:iptables

iptabled -t raw -A PREROUTING -f -j DROP

方法二:修改proc文件系统

echo 0 > /proc/sys/net/ipv4/ipfrag_low_thresh
echo 0 > /proc/sys/net/ipv4/ipfrag_high_thresh

cft56200_ln
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux中,如何列出和删除 Iptables 防火墙规则
网络技术联盟站
06-18 1314
Iptables 是一种基于 Linux 内核的防火墙工具,它用于配置和管理网络数据包过滤规则Iptables 提供了强大的功能,允许管理员控制进入和离开系统的网络流量。通过定义规则集,您可以允许或拒绝特定类型的网络连接,并保护您的系统免受未经授权的访问。Iptables 是一个强大的防火墙工具,用于保护 Linux 系统免受网络攻击。了解如何列出和删除 Iptables 防火墙规则对于管理员来说至关重要。通过使用命令,您可以列出当前系统上定义的所有防火墙规则
配置 Linux-iptables
10-20
- `-A` 或 `--append`:在规则列表末尾添加一条规则。 - `-I` 或 `--insert`:在指定位置插入一条规则。 - `-D` 或 `--delete`:从规则列表中删除一条规则。 - `-R` 或 `--replace`:替换规则列表中的某条规则。 - `...
Linux服务器防火墙Iptables命令使用详解
热门推荐
han156的博客
11-05 3万+
iptables -A INPUT -s 192.168.109.10 -j DROP:拒绝192.168.109.10主机访问本服务器; 注意:-A:添加一条规则,默认是加在最后。 注意:"拒绝给192.168.109.10主机提供服务",最好使用INPUT链。使用PREROUTING,也可以满足要求,但是如果用户的要求是让服务器提供转发功能,添加到PREROUTING链中,"转发"功能也将
iptables系列教程(二)| iptables语法规则
Dragon的博客
05-15 1635
目录 iptables 命令基本语法 -t table command参数 条件匹配参数 目的动作 iptables 常用附加模块: iptables 规则备份和恢复 iptables 命令基本语法 “ iptables [-t table] command [链名] [条件匹配] [-j 目标动作] 以下是对 iptables 命令的拆分讲解: -t table 用来指明使用的表,有三种选项:filter,nat,mangle。若未指定,则默认使用filter表。 com.
iptables INPUT设置
jackycjw的博客
06-06 1万+
参数说明: -A:规则直接加在末尾 -I:后面跟具体的位置,将规则插入到指定的位置 -D: 删除规则 -p:协议类型,如tcp类型,还有特定的-dport端口参数 -j: 处理方法,如ACCEPT接受, DROP丢弃, REJECT拒绝 如: 1、端口6379接受tcp协议 iptables -A INPUT -p tcp --dport 6379 -j ACCEPT 2...
iptables删除所有规则_如何解决iptables删除命令中遇到的问题
weixin_39612726的博客
11-29 733
最近在做一个V*P*N中间件的配置工作,在配置iptables的时候,当用户想删除EIP(即释放当前连接),发现使用iptables的相关命令会提示错误。iptables: Bad rule (does a matching rule exist in that chain?).我就纳闷了,怎么会出现这个问题,按照官方的文档也有错?官方文档地址解决方法:1. 按行删除如果按照行号删除,就不会有这篇...
iptables配置实例[参考].pdf
10-11
#iptables -A INPUT -s 0/0 -d 0/0 -j DROP ``` 二、设置基本的规则匹配 1. 指定协议匹配: `-p`参数用于指定协议,如`tcp`或`udp`。例如,只匹配TCP协议: ``` #iptables -A INPUT -p tcp ``` 2. 指定地址...
Iptables 指南1.1-Oskar Andreasson
05-10
- **DROP target**:说明如何丢弃数据包。 - **LOG target**:介绍如何记录数据包。 - **MARK target**:解释了如何标记数据包。 - **MASQUERADE target**:介绍源地址伪装的目标。 - **MIRROR target**:说明...
china-gypsy:在线不幸 Cookie 扫描程序
06-24
中国吉普赛 在线扫描程序。... $ iptables -A INPUT -p tcp --dport 7547 -j DROP 如果可行,您可能也希望阻止对其端口 80 的远程访问,因为 RomPager 也可能正在侦听该端口(如果 ppp0 不是您的 WAN 接口,请
LINUX-iptables应用技巧
08-29
iptables -I INPUT -p icmp -j DROP ``` 这里 `-I INPUT` 表示在 INPUT 链中插入规则,`-p icmp` 指定 ICMP 协议。 #### 九、端口转发 端口转发是另一种常见的需求,例如,将外部 HTTP 请求 (80 端口) 转发到内部...
iptables配置实例
04-06
# iptables -A INPUT -s 0/0 -d 0/0 -j DROP ``` 这里创建了一个名为 `custom` 的自定义链,并添加了一条规则,该规则丢弃所有 ICMP 包。 #### 二、设置基本的规则匹配 **iptables** 支持多种规则匹配条件,...
iptables 与firewalld 防火墙.docx
07-07
iptables 规则分为三种:permit(放行)、drop丢弃)和 reject(拒绝)。 在 CentOS 6 中,iptables 是默认的防火墙解决方案。要使用 iptables,需要先安装 iptables,使用以下命令:`yum -y install iptables`。...
iptables详解
05-23
- `iptables -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT`: 允许通过ppp0接口且源端口为53(DNS)的UDP数据包。 - **查看当前规则**: 可以使用 `iptables -L` 命令查看当前的iptables规则。 #### 四、示例脚本...
iptables 语法 (经典)
12-06
`iptables -t filter -A INPUT -p all -m state --state INVALID -j DROP` 添加一条规则丢弃状态为INVALID的全部协议包,这是防止网络攻击的有效手段。 3. 设置默认策略: `iptables -t filter -P INPUT REJECT...
iptables 1.1中文指南
10-11
- **Commands**:如 `iptables -A` 添加规则,`iptables -D` 删除规则等。 - **Matches**: - **通用匹配**:如 `-p tcp` 或 `-p udp`。 - **隐含匹配**:如 `-i eth0` 或 `-o eth1`。 - **显式匹配**:如 `--...
iptables添加规则无效
q1009020096的博客
04-07 5845
查看目前个链路防火墙规则iptables -L -n 在Centos6中使用iptables作为防火墙,默认情况防火墙拒绝所有来源的输入。 注意:列表的中顺序代表防火墙规则执行的顺序,按顺序依次执行。 若现在我需要暴露30000端口,使用如下规则iptables -A INPUT -p tcp --dport 30000 -j ACCEPT -A 表示 add 添加新规则,添加的规则会追加到列表的最后, INPUT 表表示数据进入时生效。 -p 协议,tcp ---dport 目标端口 -
iptables加了规则后,没生效
red_sky_blue的专栏
09-08 2741
127.0.0.1在iptables中的应用
iptables详细教程:基础、架构、清空规则、追加规则、应用实例
SunshiningFire的博客
02-24 3989
iptables详细教程:基础、架构、清空规则、追加规则、应用实例 本文出自 Lesca技术宅,转载时请注明出处及相应链接。 本文永久链接: http://lesca.me/archives/iptables-tutorial-structures-configuratios-examples.html iptables防火墙可以用于创建过滤(filter)与NAT规则。所有Linux发行版都能使...
iptables】增加规则删除规则
m0_56573171的博客
12-28 3575
看来顺序很重要,如果报文已经被前面的规则匹配到,iptables则会对报文执行对应的动作,即使后面的规则也能匹配到当前报文,很有可能也没有机会再对报文执行相应的动作了,就以上图为例,报文先被第一条规则匹配到了,于是当前报文被”放行”了,因为报文已经被放行了,所以,即使上图中的第二条规则即使能够匹配到刚才”放行”的报文,也没有机会再对刚才的报文进行丢弃操作了。-F选项为flush之意,即冲刷指定的链,即删除指定链中的所有规则,但是注意,此操作相当于删除操作,在没有保存iptables规则的情况下,请慎用。
iptables -P INPUT DROP iptables -P FORWARD DROP
最新发布
07-05
当你执行 `iptables -P INPUT DROP` 和 `iptables -P FORWARD DROP` 这两条命令时,它们分别设置了两种网络包处理策略: 1. `-P INPUT DROP`:这个命令将入站(Input)的数据包过滤策略设置为"DROP"。这意味着所有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值