iptables / OUTPUT Drop Frage

**Dono** · 15.05.14, 12:22

Hallo!

Ich habe in meiner Firewall die Regel, dass ausgehende Verbindungen erlaubt sind.
1) -m state --state ESTABLISHED,RELATED -j ACCEPT
2) -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Trotzdem werden immer mal wieder Pakete gedroppt. (aber sehr selten)

log) OUTPUT Drop: .... DPT=22 WINDOW=256 RES=0x00 URG PSH SYN FIN URGP=0

Aber warum?

**blubbersuelze** · 15.05.14, 20:02

Hallo,

So weit ich hier sehe :

log) OUTPUT Drop: .... DPT=22 WINDOW=256 RES=0x00 URG PSH SYN FIN URGP=0

Wenn das alle gesetzten Flags im Paket sind, ist das wg. der beiden markierten Flags nachvollziehbar.

Deine Regeln blockieren Packete dieser Art und das ist gut so.
Diese Syn-Fin Pakete sind ein "Fehler" in der TCP-Spezifikation und werden gerne für sogenannte Syn-Fin-Flood Attacken verwendet.

Was macht das Packet genau?
Es stellt eine Verbindung her (SYN) und beendet die Verbindung zugleich (FIN).

Also kein Grund sich Gedanken zu machen.

Hier ein paar weitere Absicherungsbeispiele:
http://www.razien.de/erste-massnahme...-syn-flood/65/

vlt. hilft dir das weiter,
gruß

**Dono** · 16.05.14, 08:55

OK, danke. War hilfreich.

**Dono** · 20.05.14, 08:50

einen habe ich noch: OUTPUT Drop:WINDOW=331 RES=0x00 ACK FIN URGP=0

**blubbersuelze** · 21.05.14, 20:48

eigentlich das gleiche, ACK wird beim Aufbau einer Verbindung als Bestätigung des Aufbaus zurück geschickt.

**Dono** · 04.06.14, 08:25

.... und noch eine Frage. Ich habe stateful Regeln in der Firewall.
Ausgehende state NEW sind erlaubt und es funktioniert soweit auch wie es soll.
Trotzdem werden eine wenige Verbindungen gedropt.

OUTPUT Drop: DF PROTO=TCP SPT=631 DPT=51326 WINDOW=0 RES=0x00 RST URGP=0
631=IPP
Aber warum?

**blubbersuelze** · 04.06.14, 19:23

OUTPUT Drop: DF PROTO=TCP SPT=631 DPT=51326 WINDOW=0 RES=0x00 RST URGP=0 631=IPP

Mit RST wird eine Verbindung resetet also zurückgesetzt/terminiert

**Dono** · 05.06.14, 08:35

benötigt man für den Fall eine extra Regel, weil dieses Paket von NEW und RELATED,ESTABLISHED nicht erfasst wird?

**blubbersuelze** · 05.06.14, 19:30

Ein RST-Flag wird gesetzt wenn Pakete ungültig oder nicht erwartet sind.

ich weiß ja nicht wie dein Ruleset komplett aussieht, aber es ist durchaus ok, das dieses Paket im Context gedropt wird.

P.S. so tief wie du dich mit dem Thema beschäftigst, mal über ein Buch oder dergleichen nachgedacht welche sich mit TCP/IP richtig beschäftigt, evtl. auch Bücher über Netzwerksicherheit ?

**Dono** · 10.06.14, 09:34

Hi,

TCP/IP Buch habe ich, aber manches lässt sich einfacher erfragen als Buch oder Suchmaschine.
Manchmal hilft ein Buch auch nicht weiter. Zu Glück gibt es Foren ;-)

Warum manche Pakete gedroppt werden ist mit auch noch nicht 100% klar. Vermutlich passt die Applikation nicht zum iptables Stateful oder es vergeht zuviel Zeit zwischen den Paketen.

Trotzdem danke. für deine Hilfe. Meine FW wird jedenfall immer besser. Aber jetzt kommt auch noch nftables ...

**nopes** · 10.06.14, 10:55

Zitat von Dono

Warum manche Pakete gedroppt werden ist mit auch noch nicht 100% klar. Vermutlich passt die Applikation nicht zum iptables Stateful oder es vergeht zuviel Zeit zwischen den Paketen...

Dann sollte die oberste Prio sein, genau das zu verstehen. Dafür stehen dir zum einen Log Ausgaben der Firewall zur Verfügung, zum anderen kann man relativ simple Netzwerkverkehr simulieren, so dass man mit den Logs nachvollziehen kann. Fürs simulieren gibt es vermutlich etliche Tools, persönlich nehme ich dafür am liebsten Perl, gibt aber auch "fertige" Produkte wie hping oder nemesis; "fertig" weil die meisten mit einer eigenen Syntax kommen, in der man dann die Simulation coden muss, daher nehme ich lieber Perl, dass kann ich schon und muss nicht erst noch was lernen und entsprechend schnell ist es codiert...

**Dono** · 13.06.14, 07:01

Hi,

ich werde mir hping und nemesis mal anschauen. Ein Frage habe ich aber trotzdem noch.
Was für eine Regel erstellt man für so einen Fall:
OUTPUT Drop: PROTO=TCP SPT=8080 DPT=61890 WINDOW=0 RES=0x00 RST URGP=0")

Ausprobiert habe ich: --sport 22 --tcp-flags RST RST -j ACCEPT
Oder doch -j DROP? Oder etwas ganz anderes?