| 1 |
On Mon, 27 Sep 2004 18:20:11 +0200 |
| 2 |
Werner Jansen <jansenw@××××××.edu> wrote: |
| 3 |
|
| 4 |
> Ich nu wieder ... |
| 5 |
> |
| 6 |
> OT weil nicht gentoo-spezifisch ... |
| 7 |
> |
| 8 |
> Da ich ja jetzt meinen Rechner neu aufgesetzt habe, bekam auch das |
| 9 |
> iptables-Script ne Überarbeitung. |
| 10 |
> |
| 11 |
> Jetzt hab ich Log-Einträge, die ich mir nicht erklären kann. Gedacht |
| 12 |
> ists folgendermaßen: |
| 13 |
> |
| 14 |
> Connection Tracking mit -m state. Ganz am Anfang des Scriptes steht |
| 15 |
> ein Kommando, das Pakete zu bereits erlaubten Verbindungen |
| 16 |
> durchläßt. Für jeden erlaubte Verbindung muß nur noch das erste |
| 17 |
> Paket (--syn) erlaubt werden (inkl. -m state --state NEW). |
| 18 |
> Darüber hinaus habe ich mir noch gedacht, daß ein TCP-Paket, das zu |
| 19 |
> keiner dem conntrack bekannten Verbindung gehört und _kein_ |
| 20 |
> --syn-Paket ist, eigentlich geDROPt werden kann. |
| 21 |
> |
| 22 |
> Hier die Zeilen aus dem iptables-Script: |
| 23 |
> |
| 24 |
> STATE="-m state --state NEW" |
| 25 |
> LOGNOTICE="LOG --loglevel notice --log-prefix" |
| 26 |
> |
| 27 |
> # Pakete, die zu erlaubten Verbindungsaufbauten gehoeren, |
| 28 |
> durchlassen# Neue Pakete, die keine Verbindung aufbauen, droppen |
| 29 |
> $IPTABLES -N ctrack |
| 30 |
> $IPTABLES -A ctrack -p tcp ! --syn $STATE -j $LOGNOTICE "CTrack |
| 31 |
> Unknown: " |
| 32 |
> $IPTABLES -A ctrack -p tcp ! --syn $STATE -j DROP |
| 33 |
> $IPTABLES -A ctrack -m state --state ESTABLISHED,RELATED -j |
| 34 |
> ACCEPT$IPTABLES -A INPUT -j ctrack |
| 35 |
> $IPTABLES -A OUTPUT -j ctrack |
| 36 |
> $IPTABLES -A FORWARD -j ctrack |
| 37 |
> |
| 38 |
> ==== |
| 39 |
> Folgenden Log-Eintrag bekomme ich: |
| 40 |
> Sep 27 16:12:27 [kernel] CTrack Unknown: IN=eth0 OUT=ppp0 |
| 41 |
> SRC=10.27.2.22 DST=129.187.254.88 LEN=53 TOS=0x00 PREC=0x00 |
| 42 |
> TTL=63 ID=19631 DF PROTO=TCP SPT=35389 DPT=119 WINDOW=7504 RES=0x00 |
| 43 |
> ACK PSH FIN URGP=0 |
| 44 |
> |
| 45 |
> Zu dem Zeitpunkt existierte eine NNTP-Verbindung zum News-Server des |
| 46 |
> LRZ München (siehe auch IP-Adresse), insofern wundert mich die bloße |
| 47 |
> Existenz dieses Paketes nicht. Solche Pakete sind auch bei anderen |
| 48 |
> Diensten (POP3 und IMAP) aufgetreten. Bis jetzt aber nur da. |
| 49 |
> |
| 50 |
> Was ist an dem Paket komisch, daß es durch das Connection Tracking |
| 51 |
> fällt? |
| 52 |
> Wenn ich in obigem Script die Zeile mit ESTABLISHED usw. _vor_ die |
| 53 |
> anderen beiden stelle, taucht das Paket nicht im Log auf. |
| 54 |
|
| 55 |
Streicht den letzten Satz, er taucht doch auf ... <grummel> aber |
| 56 |
wenigstens konsistent :-) |
| 57 |
|
| 58 |
|
| 59 |
> Wie habe ich so ein Paket zu verstehen? |
| 60 |
> Hängt das mit den Flags zusammen? Oder mit dem State? |
| 61 |
> |
| 62 |
> Hoping For An Answer .. :-) |
| 63 |
> |
| 64 |
> <aufdemschlauchsteh> |
| 65 |
> |
| 66 |
> CU |
| 67 |
> Werner |
| 68 |
> |
| 69 |
> -- |
| 70 |
> gentoo-user-de@g.o mailing list |
| 71 |
> |
| 72 |
|
| 73 |
-- |
| 74 |
gentoo-user-de@g.o mailing list |
Archives