一点 OpenVPN 忽略 P_CONTROL_HARD_RESET_xxxx 的想法

2012-12-06 22:56:14 +08:00
 ratazzi
http://fengnet.com/book/vpns%20illustrated%20tunnels%20%20vpnsand%20ipsec/ch08lev1sec5.html

根据数据包的格式,结合日志,Op Code 为以下两种

P_CONTROL_HARD_RESET_CLIENT_V2
P_CONTROL_HARD_RESET_SERVER_V2

应该是 gfw 发送的 reset 包

http://www.netfilter.org/documentation/HOWTO/netfilter-extensions-HOWTO-3.html

然后根据 iptables 手册最适合的应该是
iptables -A INPUT -m u32 --u32 '4&0x3FFF=0 && ' -j DROP
这种方式来过滤,但是我对 TCP/IP 太不在行,不知道怎样才能匹配到,这里的模式是匹配 udp
wireshark 也没有 openvpn 协议的支持,不知道如何下手了,至少以目前的知识是不够的
不知道大家有什么想法
3759 次点击
所在节点    随想
13 条回复
csx163
2012-12-07 12:46:00 +08:00
关注一下,我也被这个reset搞得经常换端口
ratazzi
2012-12-09 22:55:54 +08:00
研究了两天,最终得出的结论是建立连接过程的数据包被丢弃,所以没办法用 iptables 搞定

http://ratazzi.org/2012/12/09/about-openvpn-interrupt-by-xxx/
vpncloud
2012-12-10 06:39:02 +08:00
@csx163 最近 OpenVPN 不太正常捏~
云梯支持 PPTP 和 L2TP 行业标准协议,能够覆盖绝大部分的设备,而且设置简单,工作完全正常哟 (^_−)−☆
云梯在香港,美国,日本都有服务器,速度快,价格低至7元/月,如果有需要的朋友可以访问云梯网站了解更多信息哟 www.vpncloud.me
感谢支持 (⌒▽⌒)
c0878
2012-12-10 10:46:42 +08:00
3楼发广告的怎么处理啊 @Livid
ericFork
2012-12-10 11:08:07 +08:00
PPTP L2TP 也并不是都能用的,强调这一点有什么意义?
gonbo
2012-12-10 11:31:25 +08:00
@ratazzi 用tcp 丢掉reset包,tcp的话,openvpn性能下降很多。
ratazzi
2012-12-10 12:01:43 +08:00
@gonbo 看来目前对于我来说只能写个自动换端口的脚本了凑合用了
meteor
2012-12-10 12:18:37 +08:00
@c0878 直接点它的个人页,然后block.
http://www.v2ex.com/member/vpncloud



我最恨做广告的了.
csx163
2012-12-10 13:34:08 +08:00
被广告圈过来了...

那个reset包能丢弃就好了,要怎么实现呢?
@gonbo
leejiangren
2012-12-10 13:49:26 +08:00
@csx163 @ericFork

openvpn还好点,pptp l2tp某些长城宽带,铁通不能连接,网通还好点。
gonbo
2012-12-10 14:33:30 +08:00
iptables -A INPUT -p tcp --tcp-flags RST RST -j DROP
tarsier
2012-12-10 15:00:40 +08:00
@ratazzi TCP over TCP is a bad idea
ericFork
2012-12-10 17:09:23 +08:00
@gonbo 好东西,但是 Windows 就比较捉急了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/54264

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX