[e-privacy] OT brutta cosa quello che stanno facendo al TCP/IP

[vecna]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

simone at winstonsmith.info wrote:
> http://punto-informatico.it/p.aspx?i=2128848
> 
> Qualcuno ha qualche soluzione usabile

Ignorare il flag RST.

e' anche il sistema che usa il grande firewall cinese. invia dei reset
da entrambe le parti della connessione. l'uso del RST in quel momento
della connessione e' sufficente a discriminare le chiusure delle
connessioni da RST (quelle dei filtri) e quelle chiuse con FIN (corretto
uso degli stack TCP/IP).

quindi, se tutti i server e tutti i client ignorando i reset come
sistema per terminare le connessioni (ma lo tengono in uso per gli altri
motivi, tipo trovare una porta chiusa) i filtri si bypassano.

Al momento e' possibile, se non sono stati creati dei moduli, si
potrebbe fare cosi':

- - regola di iptables di marcare (-j MARK) i pacchetti ESTABLISHED,
RELATED di tutte le connessioni TCP
- - regola id iptables di dropppare i pacchetti marcati precedentemente,
con flag reset (sarebbe l'equivalente di un if mark AND reset = drop ).


a occhio ;)
vecna
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (Darwin)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFHUC0RFvCb6mAu76URAn4bAJ9MuJ055MpHqs40PpJIYpIL+0sYdQCdGyBq
aOl8n1vgKl56CRxkBSk2kdM=
=RNPa
-----END PGP SIGNATURE-----