netfilter: descarta pacotes com opções de IP

iptablesinclui o u32método match que permite fazer algumas operações bit a bit (mas não aritméticas arbitrárias), comparações de intervalo e algumas indireções semelhantes a ponteiros na carga útil do pacote para corresponder às condições:

u32

U32 testa se quantidades de até 4 bytes extraídas de um pacote possuem valores especificados. A especificação do que extrair é geral o suficiente para encontrar dados em determinados deslocamentos de cabeçalhos tcp ou cargas úteis.

Ele tem sua própria gramática de sublinguagem e a gramática e os exemplos no manual devem ser examinados.

IHL é o tamanho do cabeçalho IP (em pedaços de 32 bits em vez de bytes) e faz parte dos primeiros 32 bits do cabeçalho (4 bits para versão com valor 0x04 para IPv4 seguido dos 4 bits para IHL) e , portanto, se houver sem opção, este tamanho deve ser o tamanho mínimo: 20 (bytes) / 4 (bytes por palavras de 32 bits) então IHL = 5 (palavras de 32 bits). Não vou lidar com casos inválidos onde IHL < 5, a pilha IPv4 já deveria ter cuidado disso.

Isso se traduz em:

• pegar o primeiro valor de 32 bits
• mascará-lo para a parte do DIH
• mude 24 bits
• compare a igualdade com 5 (inverta o resultado com !o da partida)

Então, para descartar esse pacote de entrada com iptables :

iptables -A INPUT -m u32 ! --u32 '0 & 0x0F000000 >> 24 = 5' -j DROP

sem inversão (correspondendo a 6 ou mais):

iptables -A INPUT -m u32 --u32 '0 & 0x0F000000 >> 24 = 6:0xF' -j DROP

O manual tem um exemplo semelhante onde é deslocado por 24 bits e depois multiplicado por 4 (deslocado apenas por 22 bits) para ter bytes e não palavras de 32 bits (porque os u32ponteiros usados ​​posteriormente usam endereços de 8 bits), para recuperar o início do carga útil da camada 4 e continue para outras operações:

... 0 >> 22 & 0x3C @ 0 >> 24 = 0"

O primeiro 0 significa ler bytes 0-3, >>22 significa deslocar esses 22 bits para a direita. Deslocar 24 bits daria o primeiro byte, então apenas 22 bits é quatro vezes mais alguns bits. &3C então elimina os dois bits extras à direita e os primeiros quatro bits do primeiro byte. Por exemplo, se IHL=5, o cabeçalho IP tem 20 (4 x 5) bytes.
[...]

dando para o caso do OP:

iptables -A INPUT -m u32 ! --u32 '0 >> 22 & 0x3C = 20' -j DROP

sem inversão (e sem se importar com o fato de que o primeiro próximo valor possível não é 21, mas 24 nem sobre o valor máximo exato, desde que o valor dado seja maior):

iptables -A INPUT -m u32 --u32 '0 >> 22 & 0x3C = 21:0xFF' -j DROP

O primeiro método pode ser simplificado em:

• pegar o primeiro valor de 32 bits
• mascará-lo para a parte do DIH
• compare a igualdade com (5<<24), ou seja, compare com 0x05000000 (idem)

dando:

iptables -A INPUT -m u32 ! --u32 '0 & 0x0F000000 = 0x05000000' -j DROP

ou:

iptables -A INPUT -m u32 --u32 '0 & 0x0F000000 = 0x06000000:0x0F000000' -j DROP

ou ainda:

• pegar o primeiro valor de 32 bits
• compare valor com intervalo entre 0x45000000 e 0x45FFFFFF para OK (IPv4 sempre começa com 4 e qualquer valor após a parte IHL deve ser ignorado) ou entre 0x46000000 e 0x4FFFFFFFF para não OK.

dando:

iptables -A INPUT -m u32 ! --u32 '0 = 0x45000000:0x45FFFFFF' -j DROP

ou:

iptables -A INPUT -m u32 --u32 '0 = 0x46000000:0x4FFFFFFF' -j DROP

Escolha sua escolha.