Re: iptables & ipsec - Schwääre Kost...?

[Björn Schmidt <bj-schmidt@uni-paderborn.de>]

Matthias Houdek wrote:
> > Mit Kommentarzeichen bekomme ich (das Paket wird verworfen da kein
> > match):
> >
> > Oct 29 13:51:05 skyron ILLEGAL_PACKET IN= OUT=eth0 MAC= SRC=192.168.1.1
> > DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP SPT=22
> > DPT=33085 SEQ=1048000056 ACK=1050690244 WINDOW=5792 ACK SYN URGP=0
>
>                            ^^^^^^^^^^^^^^            ^^^^
> Das ACK-Bit (Bestätigung) und die ACK-ID sind gesetzt, damit ist kein 
> Verbindungsaufbau-Paket mehr (--state=NEW), sondern ein Paket einer 
> etablierten TCP-Verbindung (--state=ESTABLISHED).

Nein, die Verbindung gilt erst dann als aufgebaut wenn nach dem Versenden von
SYN,ACK ein ACK zurückgekommen ist. Da das SYN,ACK nicht durchkommt, kann
auch kein ACK zurückkommen...
Damit Du Dich nicht ärgerst habe ich mal eben umgestellt auf
"--state NEW,ESTABLISHED,RELATED". Ohne Erfolg.

> > Die Frage ist also, warum kann ich mit IPsec nicht ohne weiteres auf
> > "--state NEW" prüfen. 
>
> Was hat IPSec damit zu tun?

Das ist Teil der Problembeschreibung. Wenn Du mir diese Frage beantworten
kannst, wäre ich sicher einen Schritt weiter.

--
Mit freundlichen Gruessen
Bjoern Schmidt