[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Merkwrdige IPTables-Meldungen

Hallo,

Jens Benecke <debian-user-german@jensbenecke.de>:

>Davor steht nur "-P DROP" und "-m state INVALID -j DROP" für in+fw+out.
>Heisst das, diese Pakete sind ungültig/kaputt?

INVALID heisst nur, dass die Pakete zu keiner existierenden
Verbindung gehören, d.h. weder NEW noch ESTABLISHED noch RELATED
sind. Wenn die Pakete durch diese Regel gehen, werden sie aber
nicht geloggt, da Du ja wie unten beschrieben nur am Ende der
Chains ein LOG Target hast. Also kann es das nicht sein.

>OUT ist nur OUTPUT und FOWARD zusammengefasst, da ich nicht beide
>seperat konfigurieren wollte.
>Da der Rechner aber nicht routet, ist FORWARD doch eigentlich komplett
>unnötig, oder?

Ja. Einfach Default Policy auf DROP setzen und fertig.

>Das hatte ich schon vermutet. Brauchst du das komplette Skript? Kannst
>du gerne haben.

Wenn Du es mir schickst, schaue ich es mal an.

>Mal ganz allgemein: Bringt das was, wenn ich allgemein
>ESTABLISHED,RELATED zulasse und bei allen expliziten Regeln noch NEW
>benutze? Dann kann ich doch gleich generell Traffic über die jeweiligen
>Ports zulassen.

Wenn Du das -m state --state NEW weglässt, dann erlaubst Du
- auch Paketen, die zu keiner existierenden Verbindung gehören, sowie
- je nach weiteren Regeln auch anderen Paketen, die "zufällig" als
  Absenderport den offenen Port (SSH o.ä.) haben
den Firewall zu passieren.

Ob das schlimm ist, kann man so pauschal nicht sagen. Aber das schöne
an einem zustandsorientierten Paketfilter ist eben, dass man effektiv
nur für verbindungsiniierende Pakete Regelwerke braucht und alles andere
über ESTABLISHED und RELATED abwickeln kann.

>> - Zu lange Idle-Zeiten innerhalb einer Verbindung.

>Das könnte es sehr gut sein. Das kommt jetzt drauf an, wie lange "zu
>lange" ist - wenns 1-2 min sind, dann ist es das wahrscheinlich. Die
>Maschine ist zeitweise ziemlich busy.

Nein, es bewegt sich in der Region von Stunden. Die genaue Zahl
habe ich leider gerade nicht im Kopf.

>> - Eine der Seiten hat ein TCP RST geschickt
>
>Macht sshd das? Oder ssh? Oder passiert das auf einer anderen Ebene?

Das macht der TCP-Stack im Kernel des Endsystems (auf dem SSH oder SSHD
läuft), wenn ein Paket reinkommt, das entsprechende Program aber nicht
(mehr) läuft.

>> - Die maximale Anzahl gespeicherter Verbindungen wird überschritten
>>   (steht bei Kernel 2.4.19 auf 2089, siehe conntrack_core.c).
> 
>Kann man das mittels /proc o.ä. hochschrauben?

Nein, das ist in o.g. File hart codiert. Eine Änderung geht nur
durch Neucompilieren des Kernels, und ich weiss nicht, welche
Nebeneffekte das hat.

>Ich habe im Regelfall einige -zig bis hundert apache- und mysql-Tasks
>laufen.

Was kommt denn bei "lsof -i | grep ESTABLISHED | wc -l"?

>Neue Firewallskripte geben mir bei Rechnern, die >500km entfernt stehen,
>immer ein mulmiges Gefühl. :-)

Das ist allerdings ein Argument...

Gruß, Harald

-- 
Harald Weidner                           hweidner@gmx.net
Reply to: