Re: iptables & ipsec - Schwääre Kost...?

To: debian-user-german@lists.debian.org
Subject: Re: iptables & ipsec - Schwääre Kost...?
From: Matthias Houdek <linux@houdek.de>
Date: Fri, 29 Oct 2004 21:43:02 +0200
Message-id: <[🔎] 200410292143.02757.linux@houdek.de>
In-reply-to: <[🔎] 41827045.6050203@uni-paderborn.de>
References: <[🔎] 418238FF.4010806@uni-paderborn.de> <[🔎] 200410291741.49574.linux@houdek.de> <[🔎] 41827045.6050203@uni-paderborn.de>

Am Freitag, 29. Oktober 2004 18:31 schrieb Björn Schmidt:
> Matthias Houdek wrote:
> >>Nein, die Verbindung gilt erst dann als aufgebaut wenn nach dem
> >>Versenden von SYN,ACK ein ACK zurückgekommen ist. Da das SYN,ACK
> >> nicht durchkommt, kann auch kein ACK zurückkommen...
> >
> > Hier irrt der Björn (evtl.)
> >
> > Das erste TCP-Paket hat noch kein ACK (woher auch, welches SYN sollte
> > denn da incrementiert werden) - und das wird mit dem --state=NEW
> > erfasst.
>
> Das ist korrekt.
>
> > Alle anderen Pakete laufen für IPTables bereits als ESTABLISHED, auch
> > wenn die eigentliche TCP-Verbindung erst nach abgeschlossenem
> > Hin-Her-Hin endgültig etabliert ist.
>
> Das ist zur Hälfte richtig. Die Verbindung gilt für den Initiator der
> Verbindung als ESTABLISHED, sobald SYN,ACK als Antwort auf SYN
> zurückgekommen ist. Für die Gegenstelle ist sie erst dann ESTABLISHED
> wenn sie als Antwort auf das SYN,ACK ein SYN bekommen hat. Dieses
> Vereinbarung ist auch bekannt als Three-Way Handshake, RFC793.

Hab ich was anderes gesagt? 
Das erste Paket, das zurück kommt, enthält ACK und ist damit als 
ESTABLISHED eingestuft. Die Antwort dann auf der Gegenseite auch. Damit 
haben alle TCP-Pakete, bei denen ACK richtig gesetzt ist, den Status 
ESTABLISHED. Und nur das erste Paket hat kein ACK und ist damit NEW.

> >>Damit Du Dich nicht ärgerst habe ich mal eben umgestellt auf
> >>"--state NEW,ESTABLISHED,RELATED". Ohne Erfolg.
> >
> > Und welche Regel blockt es (du kannst ja bei den Regeln mit
> > entsprechenden Kommentaren Loggen)?
>
> Bei mir heisst die Regel SHRED, der entsprechende Kommentar im log
> lautet ILLEGAL_PACKET (siehe meine erste Mail). Genau genommen ist
> SHRED eine Regel die alles ungematchte blockt.

Solltest du differenzieren (zumindest für die Fehlersuche). Irgendwo muss 
es ja hängen. 

> >>>>Die Frage ist also, warum kann ich mit IPsec nicht ohne weiteres
> >>>> auf "--state NEW" prüfen.
> >>>
> >>>Was hat IPSec damit zu tun?
> >>
> >>Das ist Teil der Problembeschreibung. Wenn Du mir diese Frage
> >>beantworten kannst, wäre ich sicher einen Schritt weiter.
> >
> > Bin ich dazu da deine Hausaufgaben zu machen? ;-)
>
> Du mußt es nicht tun, aber ich werde Dich nicht aufhalten. ;)
>
> Ich vermute dass ich einen Kernelbug erwischt habe...

Hm. Es fehlt ein wenig Hintergrund, um mit den paar Schnipseln was 
anfangen zu können. Vor allem weiß ich immer noch nicht, wo da IPSec mit 
im Spiel ist.

-- 
Gruß
  MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Reply to:

Follow-Ups:
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>

References:
- iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Matthias Houdek <linux@houdek.de>
- Re: iptables & ipsec - Schwääre Kost...?
  - From: Björn Schmidt <bj-schmidt@uni-paderborn.de>

Prev by Date: Re: Wohin Bugreport senden, wenn Sourcepakete auf security.d.o fehlen ?
Next by Date: Re: xine und sarge
Previous by thread: Re: iptables & ipsec - Schwääre Kost...?
Next by thread: Re: iptables & ipsec - Schwääre Kost...?
Index(es):
- Date
- Thread