【发布时间】:2015-06-22 19:49:21
【问题描述】:
是否有允许分段 ipv4/v6 数据包的 iptables 规则?
我在网上搜索它显示碎片数据包不包含端口号,因此防火墙只是丢弃数据包,顶部应用程序将在 select 或 read 调用中等待并且不会收到任何数据包。
需要帮助。
【问题讨论】:
标签: networking firewall iptables
【发布时间】:2015-06-22 19:49:21
【问题描述】:
我在网上搜索显示碎片数据包不包含端口号
不要相信您在网络上阅读的所有内容。 TCP 预先对其分段进行分段,因此以后不应重新分段,分段分段确实包含端口号。
【讨论】:
-
感谢您的回答,那我应该如何匹配数据包?用ip还是mac?如果是这样,我的防火墙在接受该 ip 或该 mac 上的所有数据包的方式上变得很弱。
如果您进行任何形式的状态/连接跟踪,内核将直接处理片段。
但是,如果您有无状态路由器,则可以添加 -f 以匹配分段数据包。这对于分段的 udp 数据包很有用。允许所有碎片数据包通过路由器并让主机处理它们: iptables -A FORWARD -f -j ACCEPT
【讨论】: