Zahozeni paketu invalid ve forward

[Zdenek Janis]

Dekuji za odpoved,
zacal jsem po techto "divnych" paketech patrat po te co jsem zjistil, ze 
mikrotik nektere pakety propusti bez NATu. Po zavedeni uvedeneho 
pravidla ve FORWARD jiz neprelozene pakety neregistruji. Nejsem si jist, 
zda to je "vlastnost" jen mikrotiku.

Dotaz jsem pokladal abych si nevedomky neudelal nejaky prusvih, ktery se 
projevi az za dlouho, nebo pri specificke komunikaci. Ale zatim vse 
funguje...

Jinak to vypada, ze techto "INVALID" paketu vyrazne pribylo s nekolika 
update z WinXP na Win7(8).

Dne 21.3.2015 v 10:40 Pavel Kankovsky napsal(a):
> On Fri, 20 Mar 2015, Zdenek Janis wrote:
>
>> iptables -I FORWARD -m "conntrack" --ctstate "INVALID" -j DROP
>>
>> [...]
>> Pri provozu vidim, ze se timto pravidlem zahazuje docela dost paketu,
>> ale pritom se zda, ze vse funguje. Je mi zahadou k cemu takove pakety
>> jsou...
>
> Po síti Vám chodí divné pakety? Vítejte v Internetu! :)
>
> To, k čemu takové pakety jsou, ví jen ten, kdo je posílá.
>
> Jedna možnost je, že jsou to zbloudilé pakety z již uzavřených spojení.
> Zažil jsem třeba případ, kdy nějaký počítač komunikoval se serverem,
> poslali si data, uzavřeli spojení -- a asi minutu poté najednou jeden
> z nich poslal jakoby v rámci toho uzavřeného spojení ještě jeden paket
> (nakonec jsem to "vyřešil" tak, že jsem prodloužil nějaký timeout
> v conntracku).
>
> Jiná možnost je, že někdo posílá SYN pakety se zfalšovanou zdrojovou
> adresou a odpovědi tj. SYN+ACK chodí k vám. My jich zaznamenáme tak 1000
> každý den a další tuny zahodí rate limiting toho záznamu.
>
> Jestli Vás zajímá, co je to za pakety, tak můžete ty pakety poslat
> nejdřív do LOG, NFQUEUE nebo něčeho podobného a pak teprve je zahodit.

-- 
S pozdravem
                  Zdenek Janis