Hi,

was sind das für Pakete? (iptables / stateful)

InvalidDrop: SPT=80 DPT=10452 WINDOW=0 RES=0x00 RST URGP=0 (URGP=URG?)
Mit welcher Regel würde man solche Pakete erlauben? (-tcp-flags RST,URG RST,URG)

:confused:

...hier habe ich noch so ein Beispiel: PT=64272 DPT=8080 WINDOW=8192 RES=0x00 SYN URGP=0
Port 8080 ist erlaubt.

???

.... also hier habe ich noch ein Beispiel:

SRC=192.168.3.11 DST=1.1.1.1. LEN=52 TOS=0x00 PREC=0x00 TTL=62 ID=64246 DF PROTO=TCP SPT=22 DPT=52270 WINDOW=114 RES=0x00 ACK PSH URGP=0

Handelt es sich hier um den Rest einer SSH Verbindung? Wurde erst von 1.1.1.1 augebaut, aber dann nicht richtig abgebaut?
Wie kann man so etwas verhindern?

Ein bisschen Debuggen, wo diese Pakete herkommen.

Vermutlich sind das ungültige Pakete, die zu keiner Verbindung mehr gehören.

Hier gibt es einen Thread zu einem ähnlichen Thema mit Debugging-Tipps: Why is our firewall (Ubuntu 8.04) rejecting the final packet (FIN, ACK, PSH) with a RST (http://serverfault.com/questions/309691/why-is-our-firewall-ubuntu-8-04-rejecting-the-final-packet-fin-ack-psh-wit)

Aus dieser und darin genannten Quellen:

Loggen der ungültigen Pakete

# iptables -A FORWARD -m state --state INVALID -j LOG

Aktuell gültige Verbindungen auflisten

# cat /proc/net/ip_conntrack

Grund für das ablehnen herausfinden

# echo "255">/proc/sys/net/netfilter/nf_conntrack_log_invalid

HTH
L00NIX

Hi,

danke f.d. Hinweis. Ich habe es aber noch nicht gelöst. (z.B LOG Meldung: INPUT Drop RES=0x00 SYN URGP=0)
/proc/net/ip_conntrack habe ich nicht

ich logge jetzt noch die invaliden Pakete, mal sehen was dabei rauskommt

Was bedeutet eigentlich (iptables): INPUT Drop src=1.1.1.1 dst=1.1.1.2 port 80 ACK PSH URGP=0?
Was will die Quelle damit sagen?

Update: im Prinzip konnte ich das Problem lösen. Es scheint aber kaum jemand so ein Problemchen zu haben. Falls es mal jemand interessieren soll, könnte ich noch etwas dazu schreiben.

Wenn es kaum jmd hat, hat es wohl zumindest einer. Damit brauchst du das wohl nicht schreiben...