LINUX.ORG.RU
ФорумAdmin

Iptables & conntrack


0

0

Как может получиться такая ситуация?

В /proc/net/ip_conntrack дофига записей такого вида:

tcp 6 429831 ESTABLISHED src=10.0.2.148 dst=10.0.2.88 sport=37842 dport=80 [UNREPLIED] src=10.0.2.88 dst=10.0.2.148 sport=80 dport=37842 use=1

tcp 6 427133 ESTABLISHED src=10.0.2.148 dst=10.0.2.167 sport=36697 dport=80 [UNREPLIED] src=10.0.2.167 dst=10.0.2.148 sport=80 dport=36697 use=1

10.0.2.148 - мой адрес, dport=80 во всех строках. Всего примерно 15000 записей. И вообще, как может быть ESTABLISHED & UNREPLIED на tcp одновременно?

★★★★★

Поищите в настройках iptables строки (если их нет, то придётся Вам подумать над их значением...) примерно следующего содержания (приведённая версия из инициализационного скрипта SystemV):

# bad_tcp_packets chain
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

# allowed chain
iptables -A allowed -p TCP --syn -j ACCEPT
iptables -A allowed -p TCP -m state ESTABLISHED,RELATED -j ACCEPT
iptables -A allowed -p TCP -j DROP

Ключевое слово для поиска в Гугле: "rc.firewall". Часть найденных ссылок будет относиться к FreeBSD, а часть - к Линуху :o)

УДАЧИ!

novocel
()
Ответ на: комментарий от novocel

Спасибо большое за решения

Вот только пара вопросов остается:

1. Как такие цепочки появляются? В том смысле, что вроде как не на любую попытку коннекта такая ерундистика появляется.

2. Я выяснил откуда берутся записи...

Почему команда

nmap -p 139 10.0.2.1

выдает

May 28 13:24:49 odin kernel: IN= OUT=eth0 SRC=10.0.2.148 DST=10.0.2.1 LEN=40 TOS=0x00 PREC=0x00 TTL=40 ID=16862 PROTO=TCP SPT=35623 DPT=80 WINDOW=1024 RES=0x00 ACK URGP=0

причем именно эти записи улетают в плохие цепочки... Вообще по этому вопросу только RTFS или можно что-нибудь читабельное почитать?

monk ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin