Re: iptables and tcpdump
On Sun, Sep 27, 2009 at 02:32:14PM +0000, Sydoruk Yaroslav wrote:
>
> Приветствую всех.
> Вывод tcpdump:
>
> IP(tos 0x0, ttl 45, id 20494, offset 0, flags [DF], proto TCP (6), length 60)
> x.60060 > x.80: S, cksum 0x5c93 (correct), 1974571823:1974571823(0) win 5840
> <mss 1460,sackOK,timestamp 356763152 0,nop,wscale 7>
> 0x0000: 00e0 815e 7b56 0017 e077 cecb 0800 4500
> 0x0010: 003c 500e 4000 2d06 f832 515a 1203 59b8
> 0x0020: 4866 ea9c 0050 75b1 932f 0000 0000 a002
> 0x0030: 16d0 5c93 0000 0204 05b4 0402 080a 1543
> 0x0040: c610 0000 0000 0103 0307
> IP(tos 0x0, ttl 45, id 57064, offset 0, flags [DF], proto TCP (6), length 60)
> x.45831 > x.80: S, cksum 0x08e1 (correct), 1986207173:1986207173(0) win 5840
> <mss 1460,sackOK,timestamp 356763152 0,nop,wscale 7>
> 0x0000: 00e0 815e 7b56 0017 e077 cecb 0800 4500
> 0x0010: 003c dee8 4000 2d06 6958 515a 1203 59b8
> 0x0020: 4866 b307 0050 7663 1dc5 0000 0000 a002
> 0x0030: 16d0 08e1 0000 0204 05b4 0402 080a 1543
> 0x0040: c610 0000 0000 0103 0307
>
> 1. нужно блокать такие syn пакет у которых например timestamp
> присудствует/отсутвует в пакете.
--protocol tcp --syn [!] --tcp-option 8
> 2. нужно блокать такие syn пакет у которых например wscale
> присудствует/отсутвует в пакете.
--protocol tcp --syn [!] --tcp-option 10
> 3. нужно блокать такие syn пакет у которых например offset=0.
--u32 "0 >> 22 & 0x3C @ 12 >> 12 = 0"
(не проверялось)
PS: По-русски правильно писать: "пакеты", "блокировать", "присутствует".
--
Stanislav
Reply to: