Zahozeni paketu invalid ve forward

[Pavel Kankovsky]

On Fri, 20 Mar 2015, Zdenek Janis wrote:

> iptables -I FORWARD -m "conntrack" --ctstate "INVALID" -j DROP
>
> [...]
> Pri provozu vidim, ze se timto pravidlem zahazuje docela dost paketu, ale 
> pritom se zda, ze vse funguje. Je mi zahadou k cemu takove pakety jsou...

Po síti Vám chodí divné pakety? Vítejte v Internetu! :)

To, k čemu takové pakety jsou, ví jen ten, kdo je posílá.

Jedna možnost je, že jsou to zbloudilé pakety z již uzavřených spojení.
Zažil jsem třeba případ, kdy nějaký počítač komunikoval se serverem, 
poslali si data, uzavřeli spojení -- a asi minutu poté najednou jeden
z nich poslal jakoby v rámci toho uzavřeného spojení ještě jeden paket 
(nakonec jsem to "vyřešil" tak, že jsem prodloužil nějaký timeout
v conntracku).

Jiná možnost je, že někdo posílá SYN pakety se zfalšovanou zdrojovou 
adresou a odpovědi tj. SYN+ACK chodí k vám. My jich zaznamenáme tak 1000 
každý den a další tuny zahodí rate limiting toho záznamu.

Jestli Vás zajímá, co je to za pakety, tak můžete ty pakety poslat nejdřív 
do LOG, NFQUEUE nebo něčeho podobného a pak teprve je zahodit.

-- 
Pavel Kankovsky aka Peak                      "Que sais-je?"