From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <massa_lists@pisem.net>
Message-ID: <3F9BCBE6.3090207@pisem.net>
Date: Sun, 26 Oct 2003 16:28:06 +0300
From: "Borovoy M." <massa_lists@pisem.net>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru-RU;
	rv:1.5b) Gecko/20031007 Thunderbird/0.3a
X-Accept-Language: ru-ru, ru
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] =?KOI8-R?Q?=E2=C9=D4=D9=C5_=D0=C1=CB=C5=D4=D9=3F?=
References: <3F97E910.7020009@psv.com.ua>
In-Reply-To: <3F97E910.7020009@psv.com.ua>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.2
Precedence: list
Reply-To: community@altlinux.ru
List-Id: <community.altlinux.ru>
List-Unsubscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lrn.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <http://www.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Sun, 26 Oct 2003 13:30:43 -0000
X-List-Received-Date: Sun, 26 Oct 2003 13:30:43 -0000
Archived-At: <http://lore.altlinux.org/community/3F9BCBE6.3090207@pisem.net/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Slava Dubrovskiy пишет:

> Hello Community!
> 
> Стоит вот такой фильтр
> ......
> $IPTABLES -N 
> bad_tcp_packets                                                                                  
> 
> $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG  
> --log-prefix "New not syn:"
> $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
> ......
> $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
> ......
> 
> И периодически получаю в лог вот такие записи:
> 
> Oct 23 17:22:44 server kernel: New not syn:IN= OUT=lo SRC=192.168.1.1 
> DST=192.168.1.1 LEN=51 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP 
> SPT=36977 DPT=143 WINDOW=49188 RES=0x00 ACK PSH FIN URGP=0
> Oct 23 17:23:10 server last message repeated 5 times
> Oct 23 17:24:30 server last message repeated 2 times
> 
> Что это такое? Кто может посылать с интерфейса lo пакеты NEW без бита 
> --syn? Или я не правильно настроил фильтрацию?

man iptables: "... NEW meaning that the packet has started a new 
connection, or  otherwise associated  with  a  connection which has not 
seen packets in both directions ..."
"... NEW означает, что пакеты начинают новое соединение, или же связаны 
с соединением, которое не видит пакеты в обоих направлениях..."

Сколько не экспериментировал с установкой соединения по TCP - всегда в 
состоянии NEW был только первый пакет с битом SYN.
В самом деле, в каких еще случаях пакет считается NEW?

> Слава Д.
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
> 


-- 
С уважением, Боровой Михаил