[iptables] TCPMS

[coresploit]

Hallo Community.

Ich habe mal eine Frage, und zwar, ob ich das TCPMSS-Target bevor oder nach dem ACCEPT-Target benutzen kann/muss.

Code: Alles auswählen

iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Es geht sich mir hier um die Reihenfolge der Befehle/Regeln, da meines Wissens nach das Paket nach ACCEPT nicht mehr durch die nachfolgenden Regeln läuft.

Danke.

[chroiss]

Die Frage ist warum du das in der OUTPUT Chain anwenden mnoechtest ?!
Denn es gehen sehr wahrscheinlich auch TCP Pakete raus die fuer das interne Lan bestimmt sind.
Deshalb waere der Die FORWARD Chain sehr wahrscheinlcih sinnvoller.
Ansonsten greift die Regel zu erst die aufgefuehrt ist, wie du richtig beschrieben hast.

Fkt. wuerde also

Code: Alles auswählen

iptables -A OUTPUT -p tcp -j DROP
iptables -A OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

oder

Code: Alles auswählen

iptables -I OUTPUT -p tcp -j ACCEPT
iptables -I OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

Gruesse chroiss

[gms]

Ich habe mal eine Frage, und zwar, ob ich das TCPMSS-Target bevor oder nach dem ACCEPT-Target benutzen kann/muss.

Code: Alles auswählen

iptables -A OUTPUT -p tcp -j ACCEPT
iptables -A OUTPUT -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

nachdem der TCPMSS-Target nur in der mangle-Tabelle verfügbar ist, (also weder in filter-FORWARD noch in filter-OUTPUT ) ist die Reihenfolge hier nicht das Problem

Gruß
gms

[chroiss]

nachdem der TCPMSS-Target nur in der mangle-Tabelle verfügbar ist, (also weder in filter-FORWARD noch in filter-OUTPUT ) ist die Reihenfolge hier nicht das Problem

Da wuerde ich mal dagegen sprechen.

1. Die Mangle Tabelle beinhaltet die Chains PREROUTING, OUTPUT, INPUT, FORWARDING und POSTROUTING, wenn man von einem 2.6 Kernel ausgeht.

2. Das TCPMSS-Target hat nichts in der mangle-Tabelle zu suchen (oder es hat sich etwas geaendert von dem ich nichts weiss :/ )

So dass es sehr wohl sinn macht es richtig zu setzen.

Gruss chroiss

[gms]

Da wuerde ich mal dagegen sprechen.

2. Das TCPMSS-Target hat nichts in der mangle-Tabelle zu suchen (oder es hat sich etwas geaendert von dem ich nichts weiss :/ )

da braucht man eigentlich nur die Dokumentation zu lesen:
das war auch noch nie anders:

TCPMSS
This target allows to alter the MSS value of TCP SYN packets, to control the maximum size for that connection (usually limiting it to your outgo‐
ing interface's MTU minus 40 for IPv4 or 60 for IPv6, respectively). Of course, it can only be used in conjunction with -p tcp. It is only valid
in the mangle table.

1. Die Mangle Tabelle beinhaltet die Chains PREROUTING, OUTPUT, INPUT, FORWARDING und POSTROUTING, wenn man von einem 2.6 Kernel ausgeht.

die OUTPUT/FORWARDING Ketten in der mangle-Tabelle sind nicht gleich den OUTPUT/FORWARDING-Ketten in der filter-Tabelle

[chroiss]

wenn dem so ist, ziehe ich alles bisher gesagte zurueck
und bin froh, dass du mich darauf hingewiesen hast.

Mir ist TCPMSS in der Mangle-Tabelle zwar immer noch unbekannt
und fremd, doch werde ich es nochmals nachlesen / bzw. testen.

Danke an gms und sry, falls/dass ich falsch lag.

Gruss chroiss
[edit]

die OUTPUT/FORWARDING Ketten in der mangle-Tabelle sind nicht gleich den OUTPUT/FORWARDING-Ketten in der filter-Tabelle

hmm, tatsaechlich. du hast recht. trotzdem ist mir das neu, dass tcpmss in der mangle tabelle angewandt wird und nicht in filter, auch wenn es sinnig klingt.
[/edit]

[coresploit]

Danke erstmal an euch für die Antworten.

Also, wenn ich das jetzt richtig verstanden habe, kann ich in der mangle-Tabelle solche Regeln definieren:

Code: Alles auswählen

iptables -t mangle -A POSTROUTING -o eth0 -j TCPMMS ...