Gentoo Archives: gentoo-user-de

From: Werner Jansen <jansenw@××××××.edu>
To: gentoo-user-de@l.g.o
Subject: [gentoo-user-de] [OT] iptables -m state
Date: Mon, 27 Sep 2004 16:20:07
Message-Id: 20040927182011.0ddb6307@tinydancer
1 Ich nu wieder ...
2
3 OT weil nicht gentoo-spezifisch ...
4
5 Da ich ja jetzt meinen Rechner neu aufgesetzt habe, bekam auch das
6 iptables-Script ne Überarbeitung.
7
8 Jetzt hab ich Log-Einträge, die ich mir nicht erklären kann. Gedacht
9 ists folgendermaßen:
10
11 Connection Tracking mit -m state. Ganz am Anfang des Scriptes steht
12 ein Kommando, das Pakete zu bereits erlaubten Verbindungen durchläßt.
13 Für jeden erlaubte Verbindung muß nur noch das erste Paket (--syn)
14 erlaubt werden (inkl. -m state --state NEW).
15 Darüber hinaus habe ich mir noch gedacht, daß ein TCP-Paket, das zu
16 keiner dem conntrack bekannten Verbindung gehört und _kein_
17 --syn-Paket ist, eigentlich geDROPt werden kann.
18
19 Hier die Zeilen aus dem iptables-Script:
20
21 STATE="-m state --state NEW"
22 LOGNOTICE="LOG --loglevel notice --log-prefix"
23
24 # Pakete, die zu erlaubten Verbindungsaufbauten gehoeren, durchlassen
25 # Neue Pakete, die keine Verbindung aufbauen, droppen
26 $IPTABLES -N ctrack
27 $IPTABLES -A ctrack -p tcp ! --syn $STATE -j $LOGNOTICE "CTrack
28 Unknown: "
29 $IPTABLES -A ctrack -p tcp ! --syn $STATE -j DROP
30 $IPTABLES -A ctrack -m state --state ESTABLISHED,RELATED -j ACCEPT
31 $IPTABLES -A INPUT -j ctrack
32 $IPTABLES -A OUTPUT -j ctrack
33 $IPTABLES -A FORWARD -j ctrack
34
35 ====
36 Folgenden Log-Eintrag bekomme ich:
37 Sep 27 16:12:27 [kernel] CTrack Unknown: IN=eth0 OUT=ppp0
38 SRC=10.27.2.22 DST=129.187.254.88 LEN=53 TOS=0x00 PREC=0x00
39 TTL=63 ID=19631 DF PROTO=TCP SPT=35389 DPT=119 WINDOW=7504 RES=0x00
40 ACK PSH FIN URGP=0
41
42 Zu dem Zeitpunkt existierte eine NNTP-Verbindung zum News-Server des
43 LRZ München (siehe auch IP-Adresse), insofern wundert mich die bloße
44 Existenz dieses Paketes nicht. Solche Pakete sind auch bei anderen
45 Diensten (POP3 und IMAP) aufgetreten. Bis jetzt aber nur da.
46
47 Was ist an dem Paket komisch, daß es durch das Connection Tracking
48 fällt?
49 Wenn ich in obigem Script die Zeile mit ESTABLISHED usw. _vor_ die
50 anderen beiden stelle, taucht das Paket nicht im Log auf.
51 Wie habe ich so ein Paket zu verstehen?
52 Hängt das mit den Flags zusammen? Oder mit dem State?
53
54 Hoping For An Answer .. :-)
55
56 <aufdemschlauchsteh>
57
58 CU
59 Werner
60
61 --
62 gentoo-user-de@g.o mailing list

Replies

Subject Author
Re: [gentoo-user-de] [OT] iptables -m state Werner Jansen <jansenw@××××××.edu>