1 |
Ich nu wieder ... |
2 |
|
3 |
OT weil nicht gentoo-spezifisch ... |
4 |
|
5 |
Da ich ja jetzt meinen Rechner neu aufgesetzt habe, bekam auch das |
6 |
iptables-Script ne Überarbeitung. |
7 |
|
8 |
Jetzt hab ich Log-Einträge, die ich mir nicht erklären kann. Gedacht |
9 |
ists folgendermaßen: |
10 |
|
11 |
Connection Tracking mit -m state. Ganz am Anfang des Scriptes steht |
12 |
ein Kommando, das Pakete zu bereits erlaubten Verbindungen durchläßt. |
13 |
Für jeden erlaubte Verbindung muß nur noch das erste Paket (--syn) |
14 |
erlaubt werden (inkl. -m state --state NEW). |
15 |
Darüber hinaus habe ich mir noch gedacht, daß ein TCP-Paket, das zu |
16 |
keiner dem conntrack bekannten Verbindung gehört und _kein_ |
17 |
--syn-Paket ist, eigentlich geDROPt werden kann. |
18 |
|
19 |
Hier die Zeilen aus dem iptables-Script: |
20 |
|
21 |
STATE="-m state --state NEW" |
22 |
LOGNOTICE="LOG --loglevel notice --log-prefix" |
23 |
|
24 |
# Pakete, die zu erlaubten Verbindungsaufbauten gehoeren, durchlassen |
25 |
# Neue Pakete, die keine Verbindung aufbauen, droppen |
26 |
$IPTABLES -N ctrack |
27 |
$IPTABLES -A ctrack -p tcp ! --syn $STATE -j $LOGNOTICE "CTrack |
28 |
Unknown: " |
29 |
$IPTABLES -A ctrack -p tcp ! --syn $STATE -j DROP |
30 |
$IPTABLES -A ctrack -m state --state ESTABLISHED,RELATED -j ACCEPT |
31 |
$IPTABLES -A INPUT -j ctrack |
32 |
$IPTABLES -A OUTPUT -j ctrack |
33 |
$IPTABLES -A FORWARD -j ctrack |
34 |
|
35 |
==== |
36 |
Folgenden Log-Eintrag bekomme ich: |
37 |
Sep 27 16:12:27 [kernel] CTrack Unknown: IN=eth0 OUT=ppp0 |
38 |
SRC=10.27.2.22 DST=129.187.254.88 LEN=53 TOS=0x00 PREC=0x00 |
39 |
TTL=63 ID=19631 DF PROTO=TCP SPT=35389 DPT=119 WINDOW=7504 RES=0x00 |
40 |
ACK PSH FIN URGP=0 |
41 |
|
42 |
Zu dem Zeitpunkt existierte eine NNTP-Verbindung zum News-Server des |
43 |
LRZ München (siehe auch IP-Adresse), insofern wundert mich die bloße |
44 |
Existenz dieses Paketes nicht. Solche Pakete sind auch bei anderen |
45 |
Diensten (POP3 und IMAP) aufgetreten. Bis jetzt aber nur da. |
46 |
|
47 |
Was ist an dem Paket komisch, daß es durch das Connection Tracking |
48 |
fällt? |
49 |
Wenn ich in obigem Script die Zeile mit ESTABLISHED usw. _vor_ die |
50 |
anderen beiden stelle, taucht das Paket nicht im Log auf. |
51 |
Wie habe ich so ein Paket zu verstehen? |
52 |
Hängt das mit den Flags zusammen? Oder mit dem State? |
53 |
|
54 |
Hoping For An Answer .. :-) |
55 |
|
56 |
<aufdemschlauchsteh> |
57 |
|
58 |
CU |
59 |
Werner |
60 |
|
61 |
-- |
62 |
gentoo-user-de@g.o mailing list |