Re: iptables et paquets réponses pop3s
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> writes:
> Nicolas KOWALSKI a écrit :
>> A priori ce classement a dû être changé dans les dernières versions du
>> noyau, car ces erreurs n'apparaissaient pas en 2.6.26. C'est depuis
>> une mise-à-jour en 2.6.32 (backports) que je vois ces drops.
>
> /me fouille dans les changelogs du noyau...
> J'ai trouvé ça dans les changements du noyau 2.6.30 :
>
> netfilter: nf_ct_tcp: fix accepting invalid RST segments
>
> Robert L Mathews discovered that some clients send evil TCP RST
> segments, which are accepted by netfilter conntrack but discarded by
> the destination. Thus the conntrack entry is destroyed but the
> destination retransmits data until timeout.
Ok, donc le 2.6.26 acceptait des saletés, et le 2.6.32 est plus
strict ; ce n'est pas plus mal.
Maintenant je vais essayer de trouver d'où vient la première
craderie, client (fetchmail) ou serveur pop3s.
Merci pour tes explications et tes recherches,
--
Nicolas
Reply to: