BAGI Ákos <abagi@compuflex.hu> (Mo 07 Okt 2019 23:02:39 CEST):
Ich sehe diese Zeile im Log:
Oct 4 22:28:37 atilla kernel: [15888959.848503] IPTABLES OUTPUT reject IN=
OUT=eth0 SRC=aa.bb.bb.dd DST=ee.ff.gg.hh LEN=40 TOS=0x00 PREC=0x00 TTL=64
ID=4940 DF PROTO=TCP SPT=443 DPT=53983 WINDOW=237 RES=0x00 ACK FIN URGP=0
Der Benutzer kann ohne weiteres mit dem Server kommunizieren, manchmal
kommen aber diese Eintragungen und
hat Probleme mit der Verbindung.
Was bedeutet das?
Was ist nicht erlaubt?
Alle Antworte sind erlaubt (ESTABLISHED, RELATED)
Woher weißt Du das? Kannst Du den Output von `iptables-save` mal bitte
posten. Ist es ein System, auf dem möglicherweise nft statt iptables
verwendet wird?
Also
iptables-legacy-save
iptables-nft-save
Is es OK das erlauben?
Ich würde erstmal sagen ja. Es eines der letzten Pakete der Verbindung
(ACK, FIN). Möglicherweise etwas im Zusammenhang Connection-Tracking?
Wenn die State-Machine des Connection-Tracking glaubt, daß die Verbindung schon
fertig ist, dann wäre dieses Paket außerhalb von „ESTABLISHED“.
Warum sie das glauben sollte, weiss ich jetzt nicht. Dazu müsste man
sich mal das TCP State Diagram ansehen und gucken, ob so ein Zustand
eintreten kann.
Best regards from Dresden/Germany
Viele Grüße aus Dresden
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} -
gnupg encrypted messages are welcome --------------- key ID: F69376CE -
! key id 7CBF764A and 972EAC9F are revoked since 2015-01 ------------ -