On Tue, Jan 01, 2002 at 01:17:50AM +0100, Sascha Andres wrote:
so wies aussieht scheint das script den vorletzten schritt einer http verbindung zu blocken. dabei kommt es auf die tcp flags an (ACK SYN FIN PSH).
bei einer http verbindung die geloggt sieht das so aus:
aufbau state NEW antwort ACK SYN datentransfer ACK datenende ACK FIN PSH bestaetigung ACK bestaetigung ACK
datenende wird bei dir geblockt.
Eine kleine Frage: Sind die states nur Abkürzungen für die Flags? Es gibt ja die Flags: SYN, ACK, FIN, RST, URG, PSH (ALL und NONE) Wäre dann z. B. --tcp-flags SYN,ACK,FIN SYN (= --syn) dasselbe wie: --state NEW? Was ist der Unterschied zwischen --tcp-flags SYN,ACK,FIN SYN und --tcp-flags ALL SYN? Und welche Kombinationen sind überhaupt möglich bzw. kann ein Hacker alle Flags individuell setzen? -- mfg Martin Neuditschko