1 |
On Mon, 27 Sep 2004 18:20:11 +0200 |
2 |
Werner Jansen <jansenw@××××××.edu> wrote: |
3 |
|
4 |
> Ich nu wieder ... |
5 |
> |
6 |
> OT weil nicht gentoo-spezifisch ... |
7 |
> |
8 |
> Da ich ja jetzt meinen Rechner neu aufgesetzt habe, bekam auch das |
9 |
> iptables-Script ne Überarbeitung. |
10 |
> |
11 |
> Jetzt hab ich Log-Einträge, die ich mir nicht erklären kann. Gedacht |
12 |
> ists folgendermaßen: |
13 |
> |
14 |
> Connection Tracking mit -m state. Ganz am Anfang des Scriptes steht |
15 |
> ein Kommando, das Pakete zu bereits erlaubten Verbindungen |
16 |
> durchläßt. Für jeden erlaubte Verbindung muß nur noch das erste |
17 |
> Paket (--syn) erlaubt werden (inkl. -m state --state NEW). |
18 |
> Darüber hinaus habe ich mir noch gedacht, daß ein TCP-Paket, das zu |
19 |
> keiner dem conntrack bekannten Verbindung gehört und _kein_ |
20 |
> --syn-Paket ist, eigentlich geDROPt werden kann. |
21 |
> |
22 |
> Hier die Zeilen aus dem iptables-Script: |
23 |
> |
24 |
> STATE="-m state --state NEW" |
25 |
> LOGNOTICE="LOG --loglevel notice --log-prefix" |
26 |
> |
27 |
> # Pakete, die zu erlaubten Verbindungsaufbauten gehoeren, |
28 |
> durchlassen# Neue Pakete, die keine Verbindung aufbauen, droppen |
29 |
> $IPTABLES -N ctrack |
30 |
> $IPTABLES -A ctrack -p tcp ! --syn $STATE -j $LOGNOTICE "CTrack |
31 |
> Unknown: " |
32 |
> $IPTABLES -A ctrack -p tcp ! --syn $STATE -j DROP |
33 |
> $IPTABLES -A ctrack -m state --state ESTABLISHED,RELATED -j |
34 |
> ACCEPT$IPTABLES -A INPUT -j ctrack |
35 |
> $IPTABLES -A OUTPUT -j ctrack |
36 |
> $IPTABLES -A FORWARD -j ctrack |
37 |
> |
38 |
> ==== |
39 |
> Folgenden Log-Eintrag bekomme ich: |
40 |
> Sep 27 16:12:27 [kernel] CTrack Unknown: IN=eth0 OUT=ppp0 |
41 |
> SRC=10.27.2.22 DST=129.187.254.88 LEN=53 TOS=0x00 PREC=0x00 |
42 |
> TTL=63 ID=19631 DF PROTO=TCP SPT=35389 DPT=119 WINDOW=7504 RES=0x00 |
43 |
> ACK PSH FIN URGP=0 |
44 |
> |
45 |
> Zu dem Zeitpunkt existierte eine NNTP-Verbindung zum News-Server des |
46 |
> LRZ München (siehe auch IP-Adresse), insofern wundert mich die bloße |
47 |
> Existenz dieses Paketes nicht. Solche Pakete sind auch bei anderen |
48 |
> Diensten (POP3 und IMAP) aufgetreten. Bis jetzt aber nur da. |
49 |
> |
50 |
> Was ist an dem Paket komisch, daß es durch das Connection Tracking |
51 |
> fällt? |
52 |
> Wenn ich in obigem Script die Zeile mit ESTABLISHED usw. _vor_ die |
53 |
> anderen beiden stelle, taucht das Paket nicht im Log auf. |
54 |
|
55 |
Streicht den letzten Satz, er taucht doch auf ... <grummel> aber |
56 |
wenigstens konsistent :-) |
57 |
|
58 |
|
59 |
> Wie habe ich so ein Paket zu verstehen? |
60 |
> Hängt das mit den Flags zusammen? Oder mit dem State? |
61 |
> |
62 |
> Hoping For An Answer .. :-) |
63 |
> |
64 |
> <aufdemschlauchsteh> |
65 |
> |
66 |
> CU |
67 |
> Werner |
68 |
> |
69 |
> -- |
70 |
> gentoo-user-de@g.o mailing list |
71 |
> |
72 |
|
73 |
-- |
74 |
gentoo-user-de@g.o mailing list |