PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : iptables und syn bzw ack



michel_vaclav
14.05.08, 20:26
Hallo zusammen,

ich betreibe auf einem Rechner neben einer iptables-Firewall einen seti@home-client. Um die Kommunikation des seti-Clients mit den entsprechenden Servern zu gewährleisten, habe ich diverse Regeln gesetzt.
Nun taucht aber neuerdings in den Log-files folgender Eintrag auf:
May 14 19:38:43 firewall kernel: DROP_OUT IN= OUT=eth0 SRC=192.168.1.2 DST=208.68.240.17 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=21900 DF PROTO=TCP SPT=35070 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0Ich habe eine Regel, die eigentlich die ausgehende Verbindung zulassen sollte, jedoch scheint die nicht zu greifen:
$IPTABLES -A OUTPUT -o $DEV_DMZ -m state --state ESTABLISHED,NEW,RELATED -d 208.68.240.17 -p tcp --dport 80 -j ACCEPTOhne dass ich das jetzt verstehen würde, glaube ich, dass es an dem "SYN" im Log-Eintrag liegt. Deshalb habe ich meine Regel um die Option "--syn" ergänzt. Mit der Konsquenz, dass ich jetzt zahllose Einträge a la
May 14 19:40:16 firewall kernel: DROP_OUT IN= OUT=eth0 SRC=192.168.1.2 DST=208.68.240.17 LEN=1476 TOS=0x00 PREC=0x00 TTL=64 ID=2650 DF PROTO=TCP SPT=41952 DPT=80 WINDOW=2920 RES=0x00 ACK URGP=0 erhalte.
Was hat es damit auf sich? Was macht syn bzw ack
Ich bemerke keinerlei Einschränkungen, aber irgendwie scheint der Client mit dieser einen Adresse kommunizieren zu wollen.

Danke für Erklärungen

michel_vaclav

403
15.05.08, 00:03
tjo, wenn du den Client erlauben willst, braucht der schon syn ack um ueber tcp rauszukommen. Ich denke da ist soweit alles in Ordnung.

psh sollte auch noch normal sein, urg flags wuerde ich zumindest loggen.

Gruss 403

PS: man tcp, wikipedia
PS2: Du kannst das Loggen der Pakete auch ausstellen.

michel_vaclav
15.05.08, 18:46
Hallo 403,

es geht ja auch ohne sys und ack, deshalb bin ich ja etwas verwundert.
Und es tritt erst seit kurzem auf.

Alle meine anderen Regeln funktionieren auch ohne syn und ack. Soweit ich Wikipedia verstanden habe, treten diese Pakete doch beim Aushandeln einer Verbindung auf. Was ist dann der Unterschied zu --state "NEW"?

Danke

michel_vaclav

403
16.05.08, 18:19
keiner. syn/syn-ack/ack beim TCP Verbindungsaufbau ist --state "NEW" ;)

msi
18.05.08, 14:38
hi,
ich vermute mal, dass du noch andere iptables regeln davor hast,
die die packete droppen,
kannst du vllt mal dein ganzes iptable script hier rein posten.
deine regel passt an sihc schon (wenn die variablen alle richti gesetzt sind)

Markus

michel_vaclav
18.05.08, 15:05
kannst du vllt mal dein ganzes iptable script hier rein posten.
deine regel passt an sihc schon (wenn die variablen alle richti gesetzt sind)

Gerne. Siehe Anhang.

Gruß

michel_vaclav

msi
19.05.08, 17:05
ersetz

$IPTABLES -A OUTPUT -o $DEV_DMZ -m state --state ESTABLISHED,NEW,RELATED -d 208.68.240.17 -p tcp --dport 80 -j ACCEPT

mal durch

$IPTABLES -A OUTPUT -o $DEV_DMZ -d 208.68.240.17 -p tcp --dport 80 -j ACCEPT

das state matching macht hier eh keinen Sinn, wenn du alles reintust (NEW und ESTABLISHED (RELATED ist für HTTP eh sinnlos)).

michel_vaclav
20.05.08, 19:53
Hallo msi,

hab das jetzt mal für das ganze Skript so wie von Dir abgeändert. Seit dem ist Ruhe.


Danke

michel_vaclav