Início / unix / Perguntas / 761345
Accepted
U. Windl
Asked: 2023-11-13 15:54:41 +0800 CST

É possível verificar o endereço do peer antes de aceitar uma conexão TCP?

  • 772

Eu escrevi um servidor Perl simples que escuta em uma porta/soquete TCP, aceitando conexões. Agora eu me pergunto:

Ao querer implementar o controle de acesso baseado em endereço, é possível verificar o endereço do peer que solicita uma conexão antes de aceitá-la?

Se possível, eu poderia rejeitar a solicitação de conexão (espero) em vez de aceitar a conexão e fechá-la imediatamente novamente.

perl

4 respostas

  1. Best Answer

    A conexão TCP/IP é estabelecida pelo kernel e então seu aplicativo começa a trabalhar com a conexão.

    A única maneira de filtrar/prevenir conexões desnecessárias é usando um firewall de kernel. Você não especificou seu sistema operacional, mas no Linux será iptables/nftables.

    • 6

  2. Não é realmente uma resposta, mas algumas dicas longas demais para comentários:

    No MacOS X man acceptdiz:

    É possível obter dados de solicitação de conexão do usuário sem confirmar a conexão, emitindo uma chamada recvmsg(2) com um msg_iovlen de 0 e um msg_controllen diferente de zero , ou emitindo uma solicitação getockopt(2). Da mesma forma, pode-se fornecer informações de rejeição de conexão do usuário emitindo uma chamada sendmsg(2) fornecendo apenas as informações de controle ou chamando setsockopt(2).

    (ênfase minha)

    Não consigo encontrar mais detalhes em man recvmsgou man getsockoptsobre man tcpesse tópico.

    No Debian, man acceptdiz:

    Para ser notificado sobre conexões de entrada em um soquete, você pode usar select(2), poll(2) ou epoll(7). Um evento legível será entregue quando uma nova conexão for tentada e você poderá então chamar accept() para obter um soquete para essa conexão. Alternativamente, você pode configurar o soquete para entregar SIGIO quando ocorrer atividade em um soquete; veja soquete(7) para detalhes.

    IMHO, o único que pode fornecer mais informações seria epoll.

    Mas mesmo que você consiga obter as informações, não tenho certeza de como você rejeitaria a conexão se não gostar dela.

    Provavelmente é melhor fazer a filtragem no nível da pilha/firewall da rede (iptables e amigos).

    • 5

  3. Não reivindico nenhum conhecimento em Perl - mas suspeito que não seja possível. Para controlar o acesso a um servidor eu restringiria (em ordem de preferência):

    1. Por interface/endereço de ligação
    2. Por firewall do kernel (iptables, nftables, eBPF)
    3. Por wrappers TCP ou configuração de host

    Dado que a facilidade de restringir por configuração do host não existe atualmente, aparentemente escolher isso como ponto de partida parece incomum.

    Supondo que 1 e 2 acima não sejam uma opção, sugiro usar wrappers TCP do seu código Perl. Isso deve permitir que você comece a trabalhar com alterações mínimas de código e, ao mesmo tempo, aproveite um mecanismo flexível, padrão e robusto para controle de acesso à rede. Veja também https://metacpan.org/pod/Net::TCPwrappers

    Acredito que também seja possível aplicar wrappers tcp ajustando o LD_LIBRARY_PATH em tempo de execução (ou seja, sem nenhuma alteração de código), mas não consegui encontrar referência a isso em uma pesquisa rápida no Google.

    • 1

  4. O protocolo de controle de transmissão não é usado para controle de acesso.

    Aconselho você a verificar o TLS https://en.m.wikipedia.org/wiki/Transport_Layer_Security

    Além disso, dê uma olhada nos ganchos de entrada do firewall do netfilter. Você pode descartar e rejeitar pares indesejados.

    • -1

relate perguntas