Re: iptables et paquets réponses pop3s
Nicolas KOWALSKI a écrit :
> Pascal Hambourg <pascal.mail@plouf.fr.eu.org> writes:
>> Ce sont des TCP RST (reset) qui sont classés - à tort ou à raison -
>> comme INVALID par le suivi de connexion de netfilter. Rien de grave a
>> priori s'il n'y a pas d'effet secondaire.
>
> Merci pour ta réponse. Tant mieux si c'est sans dommage, mais ce n'est
> quand même pas "propre".
A moins que ces RST soient réellement invalides.
> A priori ce classement a dû être changé dans les dernières versions du
> noyau, car ces erreurs n'apparaissaient pas en 2.6.26. C'est depuis
> une mise-à-jour en 2.6.32 (backports) que je vois ces drops.
/me fouille dans les changelogs du noyau...
J'ai trouvé ça dans les changements du noyau 2.6.30 :
netfilter: nf_ct_tcp: fix accepting invalid RST segments
Robert L Mathews discovered that some clients send evil TCP RST
segments, which are accepted by netfilter conntrack but discarded by
the destination. Thus the conntrack entry is destroyed but the
destination retransmits data until timeout.
The patch below adds a new flag and new field to struct
ip_ct_tcp_state so that checking RST segments can be made more
strict and thus TCP conntrack can catch the invalid ones: the RST
segment is accepted only if its sequence number higher than or equal
to the highest ack we seen from the other direction. (The last_ack
field cannot be reused because it is used to catch resent packets.)
Reply to: