chạy iptables -L -v -n và gởi kết quả lên coi? 

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   18   928 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 24 packets, 2464 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination
   0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   18   928 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Trong mớ ở trên, chỗ nào nói là đã DROP udp đâu?


"Em đang cấu hình iptables với rule sau"
-A INPUT -p udp -j DROP

--> em "cấu hình" ở đâu? Cụ thể em làm những gì? Hãy trình bày cụ thể từng bước em thực thi xem? 

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT  -p udp -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   93  5796 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 93 packets, 11092 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   84  5052 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    5   628 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    4   116 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

conmale wrote:

Trong mớ ở trên, chỗ nào nói là đã DROP udp đâu?


"Em đang cấu hình iptables với rule sau"
-A INPUT -p udp -j DROP

--> em "cấu hình" ở đâu? Cụ thể em làm những gì? Hãy trình bày cụ thể từng bước em thực thi xem? 

1. đầu tiên em dùng lệnh vi /etc/sysconfig/iptables để add thêm rule drop udp vào iptables
A INPUT -p udp -j DROP
sau đây là toàn bộ rule của iptables của em
Code:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT  -p udp -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

sau đó restart lại dịch vụ iptables để rule được thực thi.
kiểm tra lại bằng lệnh iptables -L -v -n
Code:

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   93  5796 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 93 packets, 11092 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   84  5052 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    5   628 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    4   116 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

sau đó em đã thử bằng cách dùng chương trình low orbit ion cannon để flood udp đến web server trong mạng local. và dùng tcpdump bắt dc cả mấy chục ngàn gói tin udp . bên cạnh đó truy cập web rất chậm và ssh bị đơ luôn.

nhờ anh conmale chỉ giúp với ạ 

conmale wrote:

Trong mớ ở trên, chỗ nào nói là đã DROP udp đâu?


"Em đang cấu hình iptables với rule sau"
-A INPUT -p udp -j DROP

--> em "cấu hình" ở đâu? Cụ thể em làm những gì? Hãy trình bày cụ thể từng bước em thực thi xem? 

1. đầu tiên em dùng lệnh vi /etc/sysconfig/iptables để add thêm rule drop udp vào iptables
A INPUT -p udp -j DROP
sau đây là toàn bộ rule của iptables của em
Code:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT  -p udp -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

sau đó restart lại dịch vụ iptables để rule được thực thi.
kiểm tra lại bằng lệnh iptables -L -v -n
Code:

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   93  5796 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 93 packets, 11092 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   84  5052 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    5   628 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    4   116 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

sau đó em đã thử bằng cách dùng chương trình low orbit ion cannon để flood udp đến web server trong mạng local. và dùng tcpdump bắt dc cả mấy chục ngàn gói tin udp . bên cạnh đó truy cập web rất chậm và ssh bị đơ luôn.

nhờ anh conmale chỉ giúp với ạ 

khang0001 wrote:

conmale wrote:

Trong mớ ở trên, chỗ nào nói là đã DROP udp đâu?


"Em đang cấu hình iptables với rule sau"
-A INPUT -p udp -j DROP

--> em "cấu hình" ở đâu? Cụ thể em làm những gì? Hãy trình bày cụ thể từng bước em thực thi xem? 

1. đầu tiên em dùng lệnh vi /etc/sysconfig/iptables để add thêm rule drop udp vào iptables
A INPUT -p udp -j DROP
sau đây là toàn bộ rule của iptables của em
Code:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT  -p udp -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

sau đó restart lại dịch vụ iptables để rule được thực thi.
kiểm tra lại bằng lệnh iptables -L -v -n
Code:

Chain INPUT (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   93  5796 RH-Firewall-1-INPUT  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 93 packets, 11092 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain RH-Firewall-1-INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
   84  5052 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    5   628 DROP       udp  --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80
    4   116 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

sau đó em đã thử bằng cách dùng chương trình low orbit ion cannon để flood udp đến web server trong mạng local. và dùng tcpdump bắt dc cả mấy chục ngàn gói tin udp . bên cạnh đó truy cập web rất chậm và ssh bị đơ luôn.

nhờ anh conmale chỉ giúp với ạ 

Lần trước không có cái này:
5 628 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0

Lần này thì có.

Chứng tỏ lần trước làm sai gì đó.

Web chậm và ssh bị đơ là do đường truyền bị nghẽn do UDP flood. Trong trường hợp này iptables cản INPUT là vô ích. Tìm đọc vài chương cuối của "Ký sự DDoS HVA" để tìm hiểu thêm. 

Em đã đọc kí sự ddos HVA phần 24. và cài đặt thành công dịch vụ Discard. nhưng đến lúc thêm rule REDIRECT thì ko được. có lẽ do phiên bản iptables của em là 1.3.5 đã củ rồi nên ko có REDIRECT. em tìm trên mạng có phiên bản iptables-1.4.6-1.el6.x86_64.rpm . nhưng dành cho Centos 6. còn của em là centos 5.5 ko biết cài vô có sao ko nữa. Anh conmale có gợi ý gì cho em trong trường hợp nầy ko ạ. 

phiên bản của iptables không quyết định có REDIRECT hay không mà kernel module quyết định chuyện này.

Thử chạy lsmod | grep REDIRECT

coi thử nó báo cái gì?

Kernel của em là phiên bản nào? Chạy 32-bit hay 64-bit mà đòi cài cái iptables-1.4.6-1.el6.x86_64.rpm?

Đây là vấn nạn của tình trạng đọc và làm theo nhưng không hiểu rõ ngọn ngành của những thứ mình dùng. Em đốt giai đoạn và không chuẩn bị cho mình cái nền cho nên thủng lổ lung tung hết. 

ipt_REDIRECT            6081  0
ip_nat                 21101  1 ipt_REDIRECT
x_tables               17349  3 ipt_REDIRECT,xt_tcpudp,ip_tables

conmale wrote:

phiên bản của iptables không quyết định có REDIRECT hay không mà kernel module quyết định chuyện này.

Thử chạy lsmod | grep REDIRECT

coi thử nó báo cái gì?

Kernel của em là phiên bản nào? Chạy 32-bit hay 64-bit mà đòi cài cái iptables-1.4.6-1.el6.x86_64.rpm?

Đây là vấn nạn của tình trạng đọc và làm theo nhưng không hiểu rõ ngọn ngành của những thứ mình dùng. Em đốt giai đoạn và không chuẩn bị cho mình cái nền cho nên thủng lổ lung tung hết. 

lsmod | grep REDIRECT

Code:

ipt_REDIRECT            6081  0
ip_nat                 21101  1 ipt_REDIRECT
x_tables               17349  3 ipt_REDIRECT,xt_tcpudp,ip_tables

Kernel của em phiên bản 2.6.18-194.el5. chạy 32 bit ạ. 

Vậy thì REDIRECT có thể được dùng. Vấn đề là phải đọc tài liệu căn bản của iptables để hiểu cần phải dùng ra làm sao.

Kernel 32-bit không thể dùng gói cho 64-bit mà cài được. 

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
REROUTING DROP [0:0]
-A PREROUTING -p udp -j REDIRECT --to-ports 9
-A PREROUTING -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
COMMIT

watch iptables -L -n -v -t nat

Every 2.0s: iptables -L -n -v -t nat                                                      Mon Mar 12 08:17:23 2012

Chain PREROUTING (policy DROP 63 packets, 1788 bytes)
 pkts bytes target     prot opt in     out     source               destination
 522K   31M REDIRECT   udp  --  *      *       0.0.0.0/0            0.0.0.0/0           www ports 9
   10   600 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80

Chain POSTROUTING (policy ACCEPT 4 packets, 303 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 4 packets, 303 bytes)
 pkts bytes target     prot opt in     out     source               destination

conmale wrote:

Vậy thì REDIRECT có thể được dùng. Vấn đề là phải đọc tài liệu căn bản của iptables để hiểu cần phải dùng ra làm sao.

Kernel 32-bit không thể dùng gói cho 64-bit mà cài được. 

Em đã thêm Rule REDIRECT vào bảng nat . với cấu hình như sau.

Code:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
REROUTING DROP [0:0]
-A PREROUTING -p udp -j REDIRECT --to-ports 9
-A PREROUTING -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
COMMIT

sau đó em dùng low orbit ion cannon. để flood UDP tiếp và dùng câu lệnh
Code:

watch iptables -L -n -v -t nat

để xem traffic thì thấy
Code:

Every 2.0s: iptables -L -n -v -t nat                                                      Mon Mar 12 08:17:23 2012

Chain PREROUTING (policy DROP 63 packets, 1788 bytes)
 pkts bytes target     prot opt in     out     source               destination
 522K   31M REDIRECT   udp  --  *      *       0.0.0.0/0            0.0.0.0/0           www ports 9
   10   600 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80

Chain POSTROUTING (policy ACCEPT 4 packets, 303 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 4 packets, 303 bytes)
 pkts bytes target     prot opt in     out     source               destination

quả thật là udp đã đến công số 9. nhưng ssh vẫn bị dơ. truy cập web vẫn ko khó khăn. vậy em đã làm đúng chưa ạ. em mún cho wwwect trên bảng mangle nhưng khi dùng câu lệnh mangle thì báo lỗi ko thể dùng được. 

khang0001 wrote:

conmale wrote:

Vậy thì REDIRECT có thể được dùng. Vấn đề là phải đọc tài liệu căn bản của iptables để hiểu cần phải dùng ra làm sao.

Kernel 32-bit không thể dùng gói cho 64-bit mà cài được. 

Em đã thêm Rule REDIRECT vào bảng nat . với cấu hình như sau.

Code:

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
REROUTING DROP [0:0]
-A PREROUTING -p udp -j REDIRECT --to-ports 9
-A PREROUTING -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
COMMIT

sau đó em dùng low orbit ion cannon. để flood UDP tiếp và dùng câu lệnh
Code:

watch iptables -L -n -v -t nat

để xem traffic thì thấy
Code:

Every 2.0s: iptables -L -n -v -t nat                                                      Mon Mar 12 08:17:23 2012

Chain PREROUTING (policy DROP 63 packets, 1788 bytes)
 pkts bytes target     prot opt in     out     source               destination
 522K   31M REDIRECT   udp  --  *      *       0.0.0.0/0            0.0.0.0/0           www ports 9
   10   600 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:80

Chain POSTROUTING (policy ACCEPT 4 packets, 303 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 4 packets, 303 bytes)
 pkts bytes target     prot opt in     out     source               destination

quả thật là udp đã đến công số 9. nhưng ssh vẫn bị dơ. truy cập web vẫn ko khó khăn. vậy em đã làm đúng chưa ạ. em mún cho wwwect trên bảng mangle nhưng khi dùng câu lệnh mangle thì báo lỗi ko thể dùng được. 

Đừng có set cái policy cho PREOUTING là DROP. Cứ để cho nó wwwect vô port 9 là xong.

Đã nhắc nhiều lần là không dùng ngôn ngữ chít chát rồi mà? 

Every 2.0s: iptables -L -vn -t nat                                                        Mon Mar 12 08:52:46 2012

Chain PREROUTING (policy ACCEPT 23 packets, 840 bytes)
 pkts bytes target     prot opt in     out     source               destination
 923K   55M REDIRECT   udp  --  *      *       0.0.0.0/0            0.0.0.0/0           www ports 9

Chain POSTROUTING (policy ACCEPT 5 packets, 324 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain OUTPUT (policy ACCEPT 5 packets, 324 bytes)
 pkts bytes target     prot opt in     out     source               destination

Thử ngưng dịch vụ discard đi. Chạy cái này:

nc -vv -u -l 9

Rồi thảy mấy cái này vô trong /etc/sysctl.conf:

net.netfilter.nf_conntrack_udp_timeout = 5
net.netfilter.nf_conntrack_udp_timeout_stream = 10
net.ipv4.udp_mem = 758496 1011328 1516992
net.ipv4.udp_rmem_min = 8192
net.ipv4.udp_wmem_min = 8192

Rồi chạy: sysctl -p

Rồi thử lại coi? 

[root@dhcppc38 ~]# sysctl -p
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 4294967295
kernel.shmall = 268435456
error: "net.netfilter.nf_conntrack_tcp_timeout_syn_sent" is an unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_syn_recv" is an unknown key
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10
error: "net.netfilter.nf_conntrack_udp_timeout" is an unknown key
error: "net.netfilter.nf_conntrack_udp_timeout_stream" is an unknown key
net.ipv4.udp_mem = 758496 1011328 1516992
net.ipv4.udp_rmem_min = 8192
net.ipv4.udp_wmem_min = 8192

error: "net.netfilter.nf_conntrack_udp_timeout" is an unknown key
error: "net.netfilter.nf_conntrack_udp_timeout_stream" is an unknown key

nc -vv -u -l 9

[root@dhcppc38 ~]# nc -vv -u -l 9

conmale wrote:

Thử ngưng dịch vụ discard đi. Chạy cái này:

nc -vv -u -l 9

Rồi thảy mấy cái này vô trong /etc/sysctl.conf:

net.netfilter.nf_conntrack_udp_timeout = 5
net.netfilter.nf_conntrack_udp_timeout_stream = 10
net.ipv4.udp_mem = 758496 1011328 1516992
net.ipv4.udp_rmem_min = 8192
net.ipv4.udp_wmem_min = 8192

Rồi chạy: sysctl -p

Rồi thử lại coi? 

Đã config lại file /etc/sysctl.conf theo cấu hình sau
Code:

[root@dhcppc38 ~]# sysctl -p
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 4294967295
kernel.shmall = 268435456
error: "net.netfilter.nf_conntrack_tcp_timeout_syn_sent" is an unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_syn_recv" is an unknown key
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10
error: "net.netfilter.nf_conntrack_udp_timeout" is an unknown key
error: "net.netfilter.nf_conntrack_udp_timeout_stream" is an unknown key
net.ipv4.udp_mem = 758496 1011328 1516992
net.ipv4.udp_rmem_min = 8192
net.ipv4.udp_wmem_min = 8192

nhưng bị báo lỗi
Code:

error: "net.netfilter.nf_conntrack_udp_timeout" is an unknown key
error: "net.netfilter.nf_conntrack_udp_timeout_stream" is an unknown key

- sau khi stop dịch vụ xinetd và thử chạy câu lệnh
Code:

nc -vv -u -l 9

thì không có dấu hiệu gì xẩy ra chỉ thấy xuống hàng . nên em đánh ctrl + c để thoát ra
Code:

[root@dhcppc38 ~]# nc -vv -u -l 9

không biết là máy em có config sai chỗ nào không mà câu lệnh nc -vv -u -l 9 và 2 dòng trên bị báo lỗi. 

yum install nc 

conmale wrote:

yum install nc 

hizhiz. em đã cài nc từ lâu rồi anh Conmale ơi. nếu chưa cài nc thì nó phải báo lỗi khác chứ ạ. còn dòng báo lỗi trong /etc/sysctl.conf. có vẻ như em chưa có tập lệnh đó thì phải.  

khang0001 wrote:

conmale wrote:

yum install nc 

hizhiz. em đã cài nc từ lâu rồi anh Conmale ơi. nếu chưa cài nc thì nó phải báo lỗi khác chứ ạ. còn dòng báo lỗi trong /etc/sysctl.conf. có vẻ như em chưa có tập lệnh đó thì phải.  

Nếu netcat đã có rồi thì thử:


nc -vv -u -l 9 &


rồi thử lại đi.

Còn mấy cái lỗi trong sysctl là do kernel của em cũ nên mấy cái parameters nào dùng cho kernel 2.6.25 trở đi mới có thì sẽ bị báo lỗi như vậy trên kernel của em. 

[root@dhcppc38 ~]# nc -vv -u -l 9 &
[1] 1628