On Wed, 06 Aug 2014 09:58:00 -0500, Aldo Martinez Selleras wrote:
me parece q el iptables entiende la coma como un OR entonces la primera regla te debe proteger contra un ataque SYN!
No me parece. La opción tcp-flags tiene dos partes separadas por un espacio, en la primera se define el conjunto de flags que se buscan en el paquete y en la segunda se define los que tienen que estar están habilitados. Es decir, que si usas SYN,ACK SYN,ACK estás diciendo simplemente que busque los paquetes que vengan con los flags SYN _Y_ ACK activados, por tanto, estás obviando los que vienen solo con SYN.
[...]
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Esto tampoco protege contra un SYN flood, aqui solo se verifica que las nuevas conexiones tcp tengan el flag SYN activado para permitirse, pero este suele ser el caso en los SYN floods.
-- Este mensaje ha sido analizado por MailScanner en busca de virus y otros contenidos peligrosos, y se considera que est� limpio.
______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
