+ Responder ao Tópico



  1. #1

    Padrão Alguém usa o -m lnegth --length?

    e ae comunidade.

    bom, eu peguei no artigo do foca sobre filtrar pacotes pelo tamanho..


    Conferindo com o tamanho do pacote
    O tamanho do pacote pode ser usado como condição de filtragem através do módulo length. O tamanho do pacote é especificado através da opção --length e o argumento segue a mesma sintaxe da especificação de portas no iptables sendo separados por :. Veja alguns exemplos:

    # Bloqueia qualquer pacote ICMP maior que 30Kb
    iptables -A INPUT -i eth0 -m length --length 30000: -j DROP

    # Bloqueia qualquer pacote com o tamanho entre 20 e 2000 bytes
    iptables -A INPUT -i eth0 -m length --length 20:2000 -j DROP
    com isso eu criei uma regra na chain input

    iptables -A INPUT -i ppp0 -d 192.168.1.33 -p tcp -m length --length 20:1024 -j DROP

    a 33 ainda baixa arquivo de qualquer tamanho, bom, se alguem pude me explica melhor, fico grato, não entendir muito bem na parte da regra dos byts "20:1024"...

    se alguem conhecer alguma ferramente pra fazer controle de pacotes que sai e entra na minha rede, fico grato...

    fui

  2. #2
    Visitante

    Padrão Re: Alguém usa o -m lnegth --length?

    Citação Postado originalmente por Brenno
    a 33 ainda baixa arquivo de qualquer tamanho, bom, se alguem pude me explica melhor, fico grato, não entendir muito bem na parte da regra dos byts "20:1024"...
    Acho que não entendi essa parte... vc disse que uma máquina da rede está baixando arquivos de qq tamanho, e vc queria que a regra acima impedisse ela de baixar arquivos de um certo tamanho? Perguntinha idiota, mas...

  3. #3

    Padrão Alguém usa o -m lnegth --length?

    isso

  4. #4
    Arkanoid
    Visitante

    Padrão Alguém usa o -m lnegth --length?

    Citação Postado originalmente por Brenno
    isso
    Então acho que é esse o problema...
    Nunca usei -m lenght, mas lendo as intruções q vc postou, veja que ele diz que ele limita o tamanho do pacote. Agora, se vc baixa pela rede um arquivo, ou acessa uma página HTML, ou outra coisa qq, aquele arquivo será enviado para sua máquina como uma série de pacotes. O tamanho dos pacotes não é determinado pelo tamanho do arquivo original... não tem como bloquear tamanho de arquivos baixados via rede com essas regras de iptables.

    Tipicamente os pacotes TCP terão tamanho máximo de 1500 bytes (não lembro o tamanho máximo de MTU, mas dá pra buscar no google). O uso para esse tipo de regra é impedir que pacotes forjados com tamanhos maiores que o padrão causem buffer overflow e outros bichos nas máquinas destino. Por exemplo, lembra do famoso "ping da morte" pros Windows? Acontecia qdo eles recebiam um pacote ICMP maior que 64k.

  5. #5

    Padrão Alguém usa o -m lnegth --length?

    Bom, -m lenght limita o tamanho do pacote todo, e nao o tamanho do arquivo a ser feito download.
    O MTU varia de tecnologia para tecnologia, o tamanho do MTU da Ethernet é de 1500, mas podem variar em links seriais para outros tamanhos, como por exemplo em ATM o tamanho das celulas é fixo, se eu nao me engano é 64 bytes, e por ai vai...

    Esse lance de bloquear arquivos maiores que X bytes é um tanto complicado, se voce quer desencorajar downloads de arquivos na sua rede, use um squdi com delay pools para arquivos grandes com uma taxa baixa, funciona bem melhor.

  6. #6

    Padrão Alguém usa o -m lnegth --length?

    Citação Postado originalmente por mistymst
    Bom, -m lenght limita o tamanho do pacote todo, e nao o tamanho do arquivo a ser feito download.
    O MTU varia de tecnologia para tecnologia, o tamanho do MTU da Ethernet é de 1500, mas podem variar em links seriais para outros tamanhos, como por exemplo em ATM o tamanho das celulas é fixo, se eu nao me engano é 64 bytes, e por ai vai...

    Esse lance de bloquear arquivos maiores que X bytes é um tanto complicado, se voce quer desencorajar downloads de arquivos na sua rede, use um squdi com delay pools para arquivos grandes com uma taxa baixa, funciona bem melhor.
    vlw, já imaginava isso...

    eu uso squid mas n tem como fazer acl para limitar o tamanho de pacotes

    pelos eu tentei de varias formas e n conseguir

    abraço

  7. #7

    Padrão Alguém usa o -m lnegth --length?

    Brenno, boa noite .....
    No Squid tem uma opção sim para limitar o tamanho de qualquer download.
    Ele vem configurado com tamanho zero, o que significa qualquer tamanho.
    Eu não me lembro qual o parâmetro agora, mas para você fazer um teste, entre num site qualquer para baixar um arquivo qualquer, mas use o flash get. Ele vai te mostrar o tamanho do arquivo que você vai baixar, quando inicia o download.
    Pode ver que esse parametro que está no flash get tem exatamente o mesmo no Squid. E se não me engano esse parâmetro no Squid está em k bytes.
    Eu não me lembro bem qual é no Squid. Amanhã quando chegar na empresa vou ver e posto depois. Mas tem e funciona .........
    Um abraço .............

  8. #8

    Padrão Alguém usa o -m lnegth --length?

    Citação Postado originalmente por pssgyn
    Brenno, boa noite .....
    No Squid tem uma opção sim para limitar o tamanho de qualquer download.
    Ele vem configurado com tamanho zero, o que significa qualquer tamanho.
    Eu não me lembro qual o parâmetro agora, mas para você fazer um teste, entre num site qualquer para baixar um arquivo qualquer, mas use o flash get. Ele vai te mostrar o tamanho do arquivo que você vai baixar, quando inicia o download.
    Pode ver que esse parametro que está no flash get tem exatamente o mesmo no Squid. E se não me engano esse parâmetro no Squid está em k bytes.
    Eu não me lembro bem qual é no Squid. Amanhã quando chegar na empresa vou ver e posto depois. Mas tem e funciona .........
    Um abraço .............
    pssgyn, boa tarde.

    Acho que me expressei mal, não disse que o squid não poderia fazer isso, tem como limitar sim, só que limita pra todos da minha rede, não tem como coloca esse parametros em acl, para liberar maquinas q n precisasse passa por esse parâmetro, isso que eu já tentei de tudo e nada.. Se sober algo posta ae..vlw