Re: iptables & ipsec - Schwääre Kost...?
Am Freitag, 29. Oktober 2004 16:14 schrieb Björn Schmidt:
> Matthias Houdek wrote:
> >>Mit Kommentarzeichen bekomme ich (das Paket wird verworfen da kein
> >>match):
> >>
> >>Oct 29 13:51:05 skyron ILLEGAL_PACKET IN= OUT=eth0 MAC=
> >> SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0
> >> DF PROTO=TCP SPT=22 DPT=33085 SEQ=1048000056 ACK=1050690244
> >> WINDOW=5792 ACK SYN URGP=0
> >
> > ^^^^^^^^^^^^^^ ^^^^
> > Das ACK-Bit (Bestätigung) und die ACK-ID sind gesetzt, damit ist kein
> > Verbindungsaufbau-Paket mehr (--state=NEW), sondern ein Paket einer
> > etablierten TCP-Verbindung (--state=ESTABLISHED).
>
> Nein, die Verbindung gilt erst dann als aufgebaut wenn nach dem
> Versenden von SYN,ACK ein ACK zurückgekommen ist. Da das SYN,ACK nicht
> durchkommt, kann auch kein ACK zurückkommen...
Hier irrt der Björn (evtl.)
Das erste TCP-Paket hat noch kein ACK (woher auch, welches SYN sollte denn
da incrementiert werden) - und das wird mit dem --state=NEW erfasst.
Alle anderen Pakete laufen für IPTables bereits als ESTABLISHED, auch wenn
die eigentliche TCP-Verbindung erst nach abgeschlossenem Hin-Her-Hin
endgültig etabliert ist.
> Damit Du Dich nicht ärgerst habe ich mal eben umgestellt auf
> "--state NEW,ESTABLISHED,RELATED". Ohne Erfolg.
Und welche Regel blockt es (du kannst ja bei den Regeln mit entsprechenden
Kommentaren Loggen)?
> >>Die Frage ist also, warum kann ich mit IPsec nicht ohne weiteres auf
> >>"--state NEW" prüfen.
> >
> > Was hat IPSec damit zu tun?
>
> Das ist Teil der Problembeschreibung. Wenn Du mir diese Frage
> beantworten kannst, wäre ich sicher einen Schritt weiter.
Bin ich dazu da deine Hausaufgaben zu machen? ;-)
--
Gruß
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
Reply to: