Re: wieso Iptables output reject?

To: debian-user-german@lists.debian.org
Subject: Re: wieso Iptables output reject?
From: Marc Haber <mh+debian-user-german@zugschlus.de>
Date: Wed, 09 Oct 2019 12:17:04 +0200
Message-id: <[🔎] E1iI91k-0001jl-GT@drop.zugschlus.de>
In-reply-to: <[🔎] 8862c2f4-4143-447c-4cec-e8c51dafae5a@u-v.de>
References: <[🔎] 235334cf-7bbd-a3ac-579d-8c33cde950eb@compuflex.hu> <[🔎] 20191008055006.GJ17773@jumper.schlittermann.de> <[🔎] 004843fa-13df-db62-4f7e-1fb45ad0e665@compuflex.hu> <[🔎] 8862c2f4-4143-447c-4cec-e8c51dafae5a@u-v.de>

On Tue, 8 Oct 2019 15:18:35 +0200, Ulf Volmer <u.volmer@u-v.de> wrote:
>On 08.10.19 13:32, BAGI Ákos wrote:
>
>[quoting repariert]
>
>> 2019.10.08 7:50 keltezéssel, Heiko Schlittermann írta:
>>> Wenn die State-Machine des Connection-Tracking glaubt, daß die
>>> Verbindung schon
>>> fertig ist, dann wäre dieses Paket außerhalb von „ESTABLISHED“.
>>>
>>> Warum sie das glauben sollte, weiss ich jetzt nicht. Dazu müsste man
>>> sich mal das TCP State Diagram ansehen und gucken, ob so ein Zustand
>>> eintreten kann.
>
>> Ich babe herausgefinden, das das Paket ist INVALID.
>> Ich habe keine Ahnung wie das vorkommen kann.
>
>Ein Paket ist invalid, wenn es weder new, related oder established ist.
>Meine Vermutung hier ist, dass die Verbindung bereits beendet ist. Warum
>Dein System dann aber trotzdem ein FIN ACK schickt, ist mir auch unklar.

TCP ist gemessen an seinem Alter ein hochkomplexes Protokoll, das im
Netfiltercode eher rudimentär nachgebildet ist. Um die zuordnung in
EStABLISHED und INVALID richtig hinzubekommen, müsste man die State
Machine des Kernels im Prinzip komplett nachprogrammieren.

Besonders bei den Feinheiten des Verbindungsabbaus merkt man diese
Lücken deutlich, in dem manche Pakete, die zu einem ordentlichen
Verbindungsabbau gehören, schon als INVALID verworfen werden.

Man hat nun mehrere Möglichkeiten:

(1) Man verbessert die netfilter-Implementierung.

(2) Man filtert sich die Logeinträge aus dem Log weg

(3) Man schreibt eine Extra-Regel, die diese Pakete ohne Logeintrag
verwirft

(4) Man schreibt eine Extra-Regel, die diese Pakete durchlässt

(5) Man lässt alles so und ignoriert die Einträge

Jede dieser Möglichkeiten hat ihre eigenen Vor- und Nachteile; eine
detaillierte Betrachtung würde vermutlich meinen Zeitrahmen sprengen.

Grüße
Marc
-- 
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber         |   " Questions are the         | Mailadresse im Header
Mannheim, Germany  |     Beginning of Wisdom "     | 
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

Reply to:

References:
- wieso Iptables output reject?
  - From: BAGI Ákos <abagi@compuflex.hu>
- Re: wieso Iptables output reject?
  - From: Heiko Schlittermann <hs@schlittermann.de>
- Re: wieso Iptables output reject?
  - From: BAGI Ákos <abagi@compuflex.hu>
- Re: wieso Iptables output reject?
  - From: Ulf Volmer <u.volmer@u-v.de>

Prev by Date: Re: CUPS druckt keine Bilder mehr (Vermutlich nach Upgrade auf Debian 10)
Next by Date: Re: CUPS druckt keine Bilder mehr (Vermutlich nach Upgrade auf Debian 10)
Previous by thread: Re: wieso Iptables output reject?
Next by thread: Re: wieso Iptables output reject?
Index(es):
- Date
- Thread