Zahozeni paketu invalid ve forward
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Sobota Březen 21 10:40:46 CET 2015
On Fri, 20 Mar 2015, Zdenek Janis wrote:
> iptables -I FORWARD -m "conntrack" --ctstate "INVALID" -j DROP
>
> [...]
> Pri provozu vidim, ze se timto pravidlem zahazuje docela dost paketu, ale
> pritom se zda, ze vse funguje. Je mi zahadou k cemu takove pakety jsou...
Po síti Vám chodí divné pakety? Vítejte v Internetu! :)
To, k čemu takové pakety jsou, ví jen ten, kdo je posílá.
Jedna možnost je, že jsou to zbloudilé pakety z již uzavřených spojení.
Zažil jsem třeba případ, kdy nějaký počítač komunikoval se serverem,
poslali si data, uzavřeli spojení -- a asi minutu poté najednou jeden
z nich poslal jakoby v rámci toho uzavřeného spojení ještě jeden paket
(nakonec jsem to "vyřešil" tak, že jsem prodloužil nějaký timeout
v conntracku).
Jiná možnost je, že někdo posílá SYN pakety se zfalšovanou zdrojovou
adresou a odpovědi tj. SYN+ACK chodí k vám. My jich zaznamenáme tak 1000
každý den a další tuny zahodí rate limiting toho záznamu.
Jestli Vás zajímá, co je to za pakety, tak můžete ty pakety poslat nejdřív
do LOG, NFQUEUE nebo něčeho podobného a pak teprve je zahodit.
--
Pavel Kankovsky aka Peak "Que sais-je?"
Další informace o konferenci Linux