请教大虾关于IP碎片通过包过滤防火墙的问题。希望斑竹置顶。谢谢

tangwudi

争对IP碎片，通常的理解是将一个过大的UDP或者ICMP包（大于1472），在通过IP层传递到数据链路层的时候，因为大于MTU，比如以太网的1500（这个1500是IP首部加UDP首部在加数据的总大小），从而在IP层上将上层传来的数据分成N份，每份分别封装在一个IP头中进行传递。这时有多个IP数据包承载一个UDP或者ICMP的数据报，这些IP包拥有相同的标识数字，并且除了最后一个分片MF标志字段为0外其它的分片MF标志字段均为1。因为上层数据被分片，这时除了第一个分片的IP数据字段中包含了上层数据的信息（因为UDP或者ICMP头部只在第一个分片中），所以后续的分片就不在包含上层的信息。\r\n  抱歉说了这么多废话，这些是我对IP碎片的理解，也不晓得有没有错，如果有错误那我想不通就很正常了。 :wink: \r\n   以下是我的问题了。先构建一个网络路由：三台机子，A，B，C，其中B装RH8，充当路由器和包过滤防火墙，分别连接两个主机A，B，均安装2000，A的地址是192.168.0.1，B是192.168.1.1。环境按照我对IP碎片的理解，那么就有这么个问题。除了第一片的其它分片不包含上层信息，那么如果我刻意发送大的报文（比如从192.168.0.1 ping 192.168.1.1  -l 65535 ),那么这个报文将被分片，如果这些IP碎片在通过包过滤防火墙的时候，如果不设置允许IP碎片通过，（比如iptables -A FORWARD -p icmp --icmp-type 8 -s 192.168.0.1 -d 192.168.1.1 -j ACCEPT;iptables -A FORWARD -m -state --state ESTABLISHED,RELATED -j ACCEPT;iptables -P FORWARD DROP)那么就只有第一片能够通过，因为其包含了完整的上层信息，说明这个包是从192.168.0.1到192.168.1.1的icmp request包，即icmp类型8 ，而后续的包不包含这个信息，过应该被过滤。这时后通过的第一个包到到C，因为是分片的包，所以C将其缓存并等待后续的包，但后续的包以被过滤，所以当等待一段时间后，超时，这时候C会将包丢弃，故A不会得到C得响应，应该得到timed out的数据显示。\r\n   如果要让碎片能够通过，可以在iptables 中加上-f的选项，让后续包通过，这时应该得到响应。\r\n   以上是我根据理论推出的。但是实际试验中，我发现没有允许碎片的时候A依然可以得到C的响应，所以万分疑惑。希望各位大虾指点。小弟是网络的初学者，希望得到大家的帮助。

tangwudi

不好意思 ，上面有点地方错了 \r\n比如从192.168.0.1 ping 192.168.1.1 -l 65535 \r\n2000中应该是最大65500

eapass

呵呵，我来看看。\r\n\r\n我做了一下实验，把你这个实验简化了一下。\r\n就2机器，没有用FORWARD，用的INPUT。\r\n实验结果如下。\r\n\r\nC:\\>;ping -l 1472 192.168.0.1\r\n\r\nPinging 192.168.0.1 with 1472 bytes of data:\r\n\r\nReply from 192.168.0.1: bytes=1472 time<10ms TTL=64\r\nReply from 192.168.0.1: bytes=1472 time<10ms TTL=64\r\nReply from 192.168.0.1: bytes=1472 time<10ms TTL=64\r\nReply from 192.168.0.1: bytes=1472 time<10ms TTL=64\r\n\r\nPing statistics for 192.168.0.1:\r\n    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),\r\nApproximate round trip times in milli-seconds:\r\n    Minimum = 0ms, Maximum =  0ms, Average =  0ms\r\n\r\n\r\n\r\nC:\\>;ping -l 1473 192.168.0.1\r\n\r\nPinging 192.168.0.1 with 1472 bytes of data:\r\n\r\nReply from 192.168.0.1: bytes=1472 time<10ms TTL=64\r\nReply from 192.168.0.1: bytes=1472 time<10ms TTL=64\r\nReply from 192.168.0.1: bytes=1472 time<10ms TTL=64\r\nReply from 192.168.0.1: bytes=1472 time<10ms TTL=64\r\n\r\nPing statistics for 192.168.0.1:\r\n    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),\r\nApproximate round trip times in milli-seconds:\r\n    Minimum = 0ms, Maximum =  0ms, Average =  0ms\r\n\r\n\r\n我感觉你的理论里面没有问题，就看\r\niptables -A INPUT -p icmp --icmp-type 8 -s 192.168.0.116 -d 192.168.0.1 -j ACCEPT\r\n是不是有特殊的地方了。

eapass

补充一下：\r\n你的iptables -A FORWARD -m -state --state ESTABLISHED,RELATED -j ACCEPT\r\n应该是iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

bingocn

在C上面抓包看看它到底收到了几个包，多大。

eapass

C:\\>;ping -l 1472 www.cisco.com\r\n\r\nPinging www.cisco.com [198.133.219.25] with 1472 bytes of data:\r\n\r\nReply from 198.133.219.25: bytes=1472 time=1042ms TTL=240\r\nReply from 198.133.219.25: bytes=1472 time=1011ms TTL=240\r\nReply from 198.133.219.25: bytes=1472 time=1011ms TTL=240\r\nReply from 198.133.219.25: bytes=1472 time=1022ms TTL=240\r\n\r\nPing statistics for 198.133.219.25:\r\n    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),\r\nApproximate round trip times in milli-seconds:\r\n    Minimum = 1011ms, Maximum =  1042ms, Average =  1021ms\r\n\r\nC:\\>;ping -l 1473 www.cisco.com\r\n\r\nPinging www.cisco.com [198.133.219.25] with 1473 bytes of data:\r\n\r\nRequest timed out.\r\nRequest timed out.\r\nRequest timed out.\r\nRequest timed out.\r\n\r\nPing statistics for 198.133.219.25:\r\n    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),\r\nApproximate round trip times in milli-seconds:\r\n    Minimum = 0ms, Maximum =  0ms, Average =  0ms\r\n\r\n\r\n谁能用iptables或者ipchains模拟一下这个效果？