Re: Merkwrdige IPTables-Meldungen
Jens Benecke schrieb:
> DST=200.158.174.246 LEN=68 TOS=0x00 PREC=0x00 TTL=64 ID=19687 DF
> PROTO=TCP SPT=25 DPT=1896 WINDOW=17186 RES=0x00 ACK PSH FIN URGP=0
> obwohl ich Zielport 25 in beide Richtungen auf habe und das aussieht
> wie ein Paket, was _eigentlich_ zu einer bestehenden Verbindung
> gehören _sollte_ (die von der anderen Seite initiiert wurde).
Linux Netfilter Conntrack spielt Lucky Luke. Manchmal macht der
Stateful Filter schneller zu, als sein Schatten. ;-)
Es gibt sowieso viele Gründe, warum Pakete doppelt kommen. Manche OS
meinen am Ende direkt immer zweimal zumachen zu müssen (sicher ist
sicher). Das erste Mal macht dann auch die Verbindung zu, das zweite
Mal plumpst in Dein Filter Logging.
Umgekehrt kannst Du mit "iptstate" (zu Fuss cat /proc/net/ip_conntrack)
auch noch Verbindungen in der Stateful Datenbank finden, da ist nicht
nur die Verbindung sauber beendet worden, sondern schon seit einer
Stunde der Rechner herunter gefahren.
Schlimm ist es nicht. Wenn die Pakete nicht von Netfilter verworfen
würden, würde es der TCP/IP-Stack machen. Ich gehe auch durchaus davon
aus, dass conntrack noch einige Bugs in diesem Umfeld haben könnte. Ich
habe es aber aufgeben dem im einzelnen nach zu gehen. Zu schnell liegt
es statt an Netfilter an einer schrottigen Gegenstelle oder dazwischen
befindlichen Equipement.
--
rainer@ellinger.de
Reply to: