[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: iptables et paquets réponses pop3s

Pascal Hambourg <pascal.mail@plouf.fr.eu.org> writes:

> Nicolas KOWALSKI a écrit :
>> A priori ce classement a dû être changé dans les dernières versions du
>> noyau, car ces erreurs n'apparaissaient pas en 2.6.26. C'est depuis
>> une mise-à-jour en 2.6.32 (backports) que je vois ces drops.
>
> /me fouille dans les changelogs du noyau...
> J'ai trouvé ça dans les changements du noyau 2.6.30 :
>
>     netfilter: nf_ct_tcp: fix accepting invalid RST segments
>
>     Robert L Mathews discovered that some clients send evil TCP RST
>     segments, which are accepted by netfilter conntrack but discarded by
>     the destination. Thus the conntrack entry is destroyed but the
>     destination retransmits data until timeout.

Ok, donc le 2.6.26 acceptait des saletés, et le 2.6.32 est plus
strict ; ce n'est pas plus mal.

Maintenant je vais essayer de trouver d'où vient la première
craderie, client (fetchmail) ou serveur pop3s. 

Merci pour tes explications et tes recherches,
-- 
Nicolas
Reply to: