Discussion:
http tcp connectie
(te oud om op te antwoorden)
richard lucassen
2008-10-03 21:09:22 UTC
Permalink
Kun je een webpagina zo instellen dat de browser na het laden van de
pagina de tcp-verbinding afsluit?
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Hans W
2008-10-05 10:29:12 UTC
Permalink
Post by richard lucassen
Kun je een webpagina zo instellen dat de browser na het laden van de
pagina de tcp-verbinding afsluit?
Alleen voor die bezoeker neem ik aan? Je zou dan iets kunnen
doen met perl. Pak de iptables module en sluit de verbinding
voor die persoon in je firewall.
richard lucassen
2008-10-05 12:25:48 UTC
Permalink
On Sun, 5 Oct 2008 03:29:12 -0700 (PDT)
Post by Hans W
Post by richard lucassen
Kun je een webpagina zo instellen dat de browser na het laden van de
pagina de tcp-verbinding afsluit?
Alleen voor die bezoeker neem ik aan? Je zou dan iets kunnen
doen met perl. Pak de iptables module en sluit de verbinding
voor die persoon in je firewall.
Met iptables gaat dat niet. Ik ga zo even wat experimenteren met de
conntrack table. Wellicht dat dat wel werkt. Ik kan de ESTABLISHED
connection er wel uitkieperen, maar ik moet even kijken of-ie wel netjes
een RST terugschiet.

Maar ik had stilletjes gehoopt op een html code die de pagina in
HTTP-1.0 liet lopen want dan heb je dat probleem niet. OTOH: wie wil dat
nou? Vandaar dat het denk ik niet bestaat ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
unknown
2008-10-05 15:59:56 UTC
Permalink
Maar ik had stilletjes gehoopt op een html code die de pagina in HTTP-1.0
liet lopen want dan heb je dat probleem niet. OTOH: wie wil dat nou?
Vandaar dat het denk ik niet bestaat ;-)
Maar wellicht dat je het wel in je Apache config kwijt zou kunnen?
--
robert
richard lucassen
2008-10-05 16:47:12 UTC
Permalink
On 05 Oct 2008 15:59:56 GMT
Post by unknown
Post by richard lucassen
Maar ik had stilletjes gehoopt op een html code die de pagina in
HTTP-1.0 liet lopen want dan heb je dat probleem niet. OTOH: wie wil
dat nou? Vandaar dat het denk ik niet bestaat ;-)
Maar wellicht dat je het wel in je Apache config kwijt zou kunnen?
Hmmm, in een server directive bedoel je? Dat-ie daar http-1.0 draait?
Of draait dan meteen die hele Apache dan 1.0? Ik weet namelijk erg
weining van Apache (maar dat wist je al ;-)

Er is wel een optie om een SSL-bug in MSIE-5 te omzeilen. Het gaat
trouwens ook om SSL.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
unknown
2008-10-05 18:16:59 UTC
Permalink
Post by richard lucassen
Er is wel een optie om een SSL-bug in MSIE-5 te omzeilen. Het gaat
trouwens ook om SSL.
Deze bedoel je?
BrowserMatch ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0

Ik zou denken dat je die 'downgrade-1.0' en 'force-response-1.0' ook kunt
misbruiken in een SetEnvIf-regel. Zoiets (ongetest):
SetEnvIf Request_URI "jouw\.html$" downgrade-1.0 force-response-1.0
--
robert
richard lucassen
2008-10-05 18:26:32 UTC
Permalink
On 05 Oct 2008 18:16:59 GMT
Post by unknown
Post by richard lucassen
Er is wel een optie om een SSL-bug in MSIE-5 te omzeilen. Het gaat
trouwens ook om SSL.
Deze bedoel je?
BrowserMatch ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
Ik zou denken dat je die 'downgrade-1.0' en 'force-response-1.0' ook
SetEnvIf Request_URI "jouw\.html$" downgrade-1.0 force-response-1.0
Precies, dat had ik ook al bedacht. Maar dat zijn dan wel van die opties
die op een gegeven moment verdwijnen.

Overigens: als ik een tcp-connectie uit de contrack table gooi, komt-ie
bij het eerste het beste pakket weer terug als ESTABLISHED. Vreemde
zaak. Vooral omdat ik met iptables alleen connections toelaat met de
state NEW.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
unknown
2008-10-05 18:37:13 UTC
Permalink
Post by richard lucassen
On 05 Oct 2008 18:16:59 GMT
Post by unknown
Ik zou denken dat je die 'downgrade-1.0' en 'force-response-1.0' ook
SetEnvIf Request_URI "jouw\.html$" downgrade-1.0 force-response-1.0
Precies, dat had ik ook al bedacht. Maar dat zijn dan wel van die opties
die op een gegeven moment verdwijnen.
Misschien, maar tot die tijd kan je er prima gebruik van maken. En wie weet
verdwijnt het gewoon nooit :)
--
robert
richard lucassen
2008-10-05 18:49:31 UTC
Permalink
On 05 Oct 2008 18:37:13 GMT
Post by unknown
Post by richard lucassen
Precies, dat had ik ook al bedacht. Maar dat zijn dan wel van die
opties die op een gegeven moment verdwijnen.
Misschien, maar tot die tijd kan je er prima gebruik van maken. En wie
weet verdwijnt het gewoon nooit :)
Ik ga er van de week mee aan de gang :)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Martijn Lievaart
2008-11-06 10:43:48 UTC
Permalink
Post by richard lucassen
Overigens: als ik een tcp-connectie uit de contrack table gooi, komt-ie
bij het eerste het beste pakket weer terug als ESTABLISHED. Vreemde
zaak. Vooral omdat ik met iptables alleen connections toelaat met de
state NEW.
Dat is precies wat ie moet doen. State NEW is het eerste pakket wat ie
ziet voor een connectie en als jij de connectie net uit de contrack table
hebt weggegooid, is dat dus een willekeurig pakket uit de bestaande
connectie. Als je wilt dat ie alleen op SYNs reageert voor een nieuwe
connectie moet je iets doen als

-a INPUT -p tcp --syn -m state --state NEW -J ACCEPT
-a INPUT ! -p tcp -m state --state NEW -J ACCEPT
-a INPUT DROP

Dit is geen bug, het is een feature. Daarmee kan je namelijk een (snel)
bootende firewall of bij een simpele fail over setup de bestaande
connectie weer laten oppakken.

M4
richard lucassen
2008-11-06 11:10:52 UTC
Permalink
On Thu, 6 Nov 2008 11:43:48 +0100
Post by Martijn Lievaart
Post by richard lucassen
Overigens: als ik een tcp-connectie uit de contrack table gooi,
komt-ie bij het eerste het beste pakket weer terug als ESTABLISHED.
Vreemde zaak. Vooral omdat ik met iptables alleen connections
toelaat met de state NEW.
Dat is precies wat ie moet doen. State NEW is het eerste pakket wat ie
ziet voor een connectie en als jij de connectie net uit de contrack
table hebt weggegooid, is dat dus een willekeurig pakket uit de
bestaande connectie. Als je wilt dat ie alleen op SYNs reageert voor
een nieuwe connectie moet je iets doen als
-a INPUT -p tcp --syn -m state --state NEW -J ACCEPT
-a INPUT ! -p tcp -m state --state NEW -J ACCEPT
-a INPUT DROP
Dit is geen bug, het is een feature. Daarmee kan je namelijk een
(snel) bootende firewall of bij een simpele fail over setup de
bestaande connectie weer laten oppakken.
Nou, als ik een packet toelaat met alleen een state NEW en vervolgens
alles drop met state INVALID, dan zou ik een bestaande (dus niet een
nieuwe) verbinding moeten kunnen onderbreken door 'm uit de conntrack
table te knikkeren. En omdat de packets die dan nog binnenkomen niet
meer bij een ESTABLISHED connectie horen zouden ze door de INVALID rule
eruit geknikkerd moeten worden. En dat gebeurt dus niet.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Martijn Lievaart
2008-11-06 20:44:45 UTC
Permalink
Post by richard lucassen
On Thu, 6 Nov 2008 11:43:48 +0100
Post by Martijn Lievaart
Post by richard lucassen
Overigens: als ik een tcp-connectie uit de contrack table gooi,
komt-ie bij het eerste het beste pakket weer terug als ESTABLISHED.
Vreemde zaak. Vooral omdat ik met iptables alleen connections toelaat
met de state NEW.
Dat is precies wat ie moet doen. State NEW is het eerste pakket wat ie
ziet voor een connectie en als jij de connectie net uit de contrack
table hebt weggegooid, is dat dus een willekeurig pakket uit de
bestaande connectie. Als je wilt dat ie alleen op SYNs reageert voor
een nieuwe connectie moet je iets doen als
-a INPUT -p tcp --syn -m state --state NEW -J ACCEPT -a INPUT ! -p tcp
-m state --state NEW -J ACCEPT -a INPUT DROP
Dit is geen bug, het is een feature. Daarmee kan je namelijk een (snel)
bootende firewall of bij een simpele fail over setup de bestaande
connectie weer laten oppakken.
Nou, als ik een packet toelaat met alleen een state NEW en vervolgens
alles drop met state INVALID, dan zou ik een bestaande (dus niet een
nieuwe) verbinding moeten kunnen onderbreken door 'm uit de conntrack
table te knikkeren. En omdat de packets die dan nog binnenkomen niet
meer bij een ESTABLISHED connectie horen zouden ze door de INVALID rule
eruit geknikkerd moeten worden. En dat gebeurt dus niet.
Dat is de grap. Packets kunnen alleen INVALID zijn als ze bij een
connectie horen. Anders zijn ze per definitie NEW.

M4
richard lucassen
2008-11-06 20:58:41 UTC
Permalink
On Thu, 6 Nov 2008 21:44:45 +0100
Post by Martijn Lievaart
Dat is de grap. Packets kunnen alleen INVALID zijn als ze bij een
connectie horen. Anders zijn ze per definitie NEW.
Bij udp gaat die vlieger wel op, bij tcp lijkt me dat wat minder
logisch. Maar misschien heb je gelijk en moet je --syn meegeven. Ik kan
er wel eens mee experimenteren :)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Martijn Lievaart
2008-11-08 09:59:20 UTC
Permalink
Post by richard lucassen
On Thu, 6 Nov 2008 21:44:45 +0100
Post by Martijn Lievaart
Dat is de grap. Packets kunnen alleen INVALID zijn als ze bij een
connectie horen. Anders zijn ze per definitie NEW.
Bij udp gaat die vlieger wel op, bij tcp lijkt me dat wat minder
logisch. Maar misschien heb je gelijk en moet je --syn meegeven. Ik kan
er wel eens mee experimenteren :)
Overigens een kleine correctie op mezelf, een nieuw packet kan ook
invalid zijn, bv een icmp error waar geen connectie bij te vinden is.

zie ook http://iptables-tutorial.frozentux.net/chunkyhtml/x1358.html

M4

Hans W
2008-10-06 17:13:41 UTC
Permalink
Post by richard lucassen
On Sun, 5 Oct 2008 03:29:12 -0700 (PDT)
Post by Hans W
Post by richard lucassen
Kun je een webpagina zo instellen dat de browser na het laden van de
pagina de tcp-verbinding afsluit?
Alleen voor die bezoeker neem ik aan? Je zou dan iets kunnen
doen met perl. Pak de iptables module en sluit de verbinding
voor die persoon in je firewall.
Met iptables gaat dat niet.
Jawel hoor, mensen die default.foo zochten bij mij
gingen geheel automatisch de lijst in en konden niets meer :-)
Post by richard lucassen
Ik ga zo even wat experimenteren met de
conntrack table. Wellicht dat dat wel werkt. Ik kan de ESTABLISHED
connection er wel uitkieperen, maar ik moet even kijken of-ie wel netjes
een RST terugschiet.
Maar ik had stilletjes gehoopt op een html code die de pagina in
HTTP-1.0 liet lopen want dan heb je dat probleem niet. OTOH: wie wil dat
nou? Vandaar dat het denk ik niet bestaat ;-)
Ik lees ook graag de andere antwoorden.
richard lucassen
2008-10-07 19:15:20 UTC
Permalink
On Mon, 6 Oct 2008 10:13:41 -0700 (PDT)
Post by Hans W
Post by richard lucassen
Post by Hans W
Alleen voor die bezoeker neem ik aan? Je zou dan iets kunnen
doen met perl. Pak de iptables module en sluit de verbinding
voor die persoon in je firewall.
Met iptables gaat dat niet.
Jawel hoor, mensen die default.foo zochten bij mij
gingen geheel automatisch de lijst in en konden niets meer :-)
Ik had het niet over droppen van nieuwe connecties maar het resetten van
een bestaande connectie ;-)

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Joost de Heer
2008-10-06 13:09:19 UTC
Permalink
Post by richard lucassen
Kun je een webpagina zo instellen dat de browser na het laden van de
pagina de tcp-verbinding afsluit?
keepalive uitzetten.

Joost
richard lucassen
2008-10-07 19:13:59 UTC
Permalink
On Mon, 06 Oct 2008 15:09:19 +0200
Post by Joost de Heer
Post by richard lucassen
Kun je een webpagina zo instellen dat de browser na het laden van de
pagina de tcp-verbinding afsluit?
keepalive uitzetten.
Is dat in html te regelen?
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Joost de Heer
2008-10-07 19:37:08 UTC
Permalink
Post by richard lucassen
On Mon, 06 Oct 2008 15:09:19 +0200
Post by Joost de Heer
Post by richard lucassen
Kun je een webpagina zo instellen dat de browser na het laden van de
pagina de tcp-verbinding afsluit?
keepalive uitzetten.
Is dat in html te regelen?
Nee. En HTML dient zich daar ook niet mee bezig te houden. HTML is
namelijk geen protocol, en keepalive dient op protocolniveau afgehandeld
te worden.

Joost
richard lucassen
2008-10-07 22:31:31 UTC
Permalink
On Tue, 07 Oct 2008 21:37:08 +0200
Post by Joost de Heer
Post by richard lucassen
On Mon, 06 Oct 2008 15:09:19 +0200
Post by Joost de Heer
Post by richard lucassen
Kun je een webpagina zo instellen dat de browser na het laden van
de >> pagina de tcp-verbinding afsluit?
Post by Joost de Heer
keepalive uitzetten.
Is dat in html te regelen?
Nee. En HTML dient zich daar ook niet mee bezig te houden. HTML is
namelijk geen protocol, en keepalive dient op protocolniveau
afgehandeld te worden.
Ik vermoedde dat al wel, maar ik probeerde het toch maar even ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Loading...