Ich arbeite an einer Firewall für einen virtuellen dedizierten Server und eines der Dinge, die ich untersuche, sind Port-Scanner. TCP-Flags werden zum Schutz verwendet. Ich habe 2 Fragen.
Die Regel:
-p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP
Das erste Argument besagt, dass Pakete mit dem Flag SYN überprüft werden sollen. Das zweite Argument besagt, dass die Flags ACK, FIN und RST SYN gesetzt sind
. Wenn dies der Fall ist (es gibt eine Übereinstimmung), lassen Sie das TCP-Paket fallen
Erste Frage:
Ich verstehe die Bedeutung von RST und RST / ACK, aber im zweiten Argument wird RST SYN verwendet.
Was ist der Unterschied zwischen RST SYN und RST und SYN RST?
Gibt es ein "SYN RST" -Flag in einem 3-Wege-Handschlag?
Die zweite Frage betrifft den Unterschied zwischen
-p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j DROP
und
-p tcp --tcp-flags ALL SYN,ACK,FIN,RST SYN -j DROP
Wann sollte ALL verwendet werden?
Wenn ich ALL verwende, bedeutet das, dass für das TCP-Paket mit dem Syn-Flag nicht die ACK- und FIN- sowie die RST SYN-Flags gesetzt sind und keine Übereinstimmung vorliegt?