Re: iptables et paquets réponses pop3s
Le 14672ième jour après Epoch,
Nicolas KOWALSKI écrivait:
> Bonjour,
[...]
> Ce qui m'étonne ce sont les drops visibles dans les logs, qui
> apparemment concernent les paquets retour des serveur pop3s que
> j'interroge, alors que iptables est sensé accepter les connexions
> établies (-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT). La
> récupération des mails sur ces serveurs pops fonctionne bien.
>
> Voici un extrait:
>
> Mar 4 18:07:07 petole DROP: IN=eth0 OUT= MAC=00:40:ca:17:85:18:00:07:cb:cf:5a:5a:08:00 SRC=74.125.77.109 DST=192.168.0.1 LEN=40 TOS=00 PREC=0x00 TTL=53 ID=24852 PROTO=TCP SPT=995 DPT=48882 SEQ=1083545547 ACK=0 WINDOW=0 RST URGP=0
> Mar 4 18:07:07 petole DROP: IN=eth0 OUT= MAC=00:40:ca:17:85:18:00:07:cb:cf:5a:5a:08:00 SRC=74.125.77.109 DST=192.168.0.1 LEN=40 TOS=00 PREC=0x00 TTL=53 ID=24853 PROTO=TCP SPT=995 DPT=48882 SEQ=1083545547 ACK=0 WINDOW=0 RST URGP=0
>
>
> Quelqu'un pourrait m'expliquer le pourquoi ?
Ton programme de récupération (fetchmail?) quitte avant d'attendre la
fin de la liaison (le paquet RST). Du coup le port 48882 est considéré
comme déconnecté, et les paquets de fin sont considérés ni comme RELATED
ni comme ESTABLISHED.
Pas grave, mais pas très propre. Tu peux probablement masquer ça dans
les règles iptables, ou alors choisir un récupérateur de mails qui
attends au moins un peu les paquets de fermeture de liaison TCP.
Reply to: