Merkwrdige IPTables-Meldungen

To: debian-user-german@lists.debian.org, faq-maintainer@linuxfaq.de
Subject: Merkwrdige IPTables-Meldungen
From: Jens Benecke <written_030110@jensbenecke.de>
Date: Fri, 10 Jan 2003 14:02:11 +0100
Message-id: <[🔎] 20030110130210.GA7767@hitchhikers.de>

Hi allerseits,

ich habe meinem Paketfilter beigebracht, per default alles zu verweigern
und nur bestimmte Ports (SSH, Web, SMTP, POP3, etc) zu öffnen und auch
nur in bestimmte Richtungen (SSH und FTP nach aussen sind dicht, aber
von aussen offen).

Zusätzlich habe ich mit
$IPT -A OUT    -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT  -m state --state ESTABLISHED,RELATED -j ACCEPT

(OUT ist eine Zusammenfassung von FORWARD und OUTPUT)

festgelegt, daß auf jeden Fall bestehende Verbindungen nicht gestört
werden sollen.


Trotzdem kriege ich ab und an Meldungen wie diese im syslog

kernel: IN= OUT=eth0 SRC=193.111.112.14
	DST=134.28.62.2 LEN=100 TOS=0x12 PREC=0x00 TTL=64 ID=41329 DF PROTO=TCP
	SPT=22 DPT=3293 WINDOW=10944 RES=0x00 ACK PSH URGP=0 
kernel: IN= OUT=eth0 SRC=193.111.112.14
	DST=134.28.62.2 LEN=164 TOS=0x12 PREC=0x00 TTL=64 ID=41329 DF PROTO=TCP
	SPT=22 DPT=3293 WINDOW=10944 RES=0x00 ACK PSH URGP=0 

und das oft zeitgleich mit einer urplötzlich abgebrochenen
SSH-Verbindung zu besagtem Rechner. Ich kriege auch relativ viele
Meldungen wie

kernel: IN= OUT=eth0 SRC=193.111.112.17
	DST=66.135.197.8 LEN=80 TOS=0x00 PREC=0x00 TTL=64 ID=16 DF PROTO=TCP
	SPT=25 DPT=37314 WINDOW=17376 RES=0x00 ACK PSH FIN URGP=0 
kernel: IN= OUT=eth0 SRC=193.111.112.14
	DST=66.135.197.8 LEN=80 TOS=0x00 PREC=0x00 TTL=64 ID=16 DF PROTO=TCP
	SPT=25 DPT=44661 WINDOW=43440 RES=0x00 ACK PSH FIN URGP=0 
kernel: IN= OUT=eth0 SRC=193.111.112.17
	DST=200.158.174.246 LEN=68 TOS=0x00 PREC=0x00 TTL=64 ID=19687 DF
	PROTO=TCP SPT=25 DPT=1896 WINDOW=17186 RES=0x00 ACK PSH FIN URGP=0 

obwohl ich Zielport 25 in beide Richtungen auf habe und das aussieht wie
ein Paket, was _eigentlich_ zu einer bestehenden Verbindung gehören
_sollte_ (die von der anderen Seite initiiert wurde). (Tut es das? Oder
ist das was anderes?)


Wo liegt mein Denkfehler? Ich dachte, obige iptables-Regel sollte
bestehende Verbindungen nicht kappen. Oder habe ich mir einen Trojaner
eingefangen? ;*)


Danke!


-- 
Jens Benecke
http://www.hitchhikers.de -- Europas Mitfahrzentrale seit 1998
NEU: Jetzt mit Unfallversicherung!

Reply to:

Follow-Ups:
- Re: Merkwrdige IPTables-Meldungen
  - From: Harald Weidner <hweidner-lists@gmx.net>
- Re: Merkwrdige IPTables-Meldungen
  - From: Rainer Ellinger <rainer@ellinger.de>

Prev by Date: Re: Sendmail Inteface via html/php ?
Next by Date: RE: Webserver über Router
Previous by thread: Re: schlanker DNS-Server gesucht
Next by thread: Re: Merkwrdige IPTables-Meldungen
Index(es):
- Date
- Thread