* [Comm] Битые пакеты?
@ 2003-10-23 14:43 Slava Dubrovskiy
2003-10-26 13:28 ` Borovoy M.
0 siblings, 1 reply; 2+ messages in thread
From: Slava Dubrovskiy @ 2003-10-23 14:43 UTC (permalink / raw)
To: Community
Hello Community!
Стоит вот такой фильтр
......
$IPTABLES -N
bad_tcp_packets
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
......
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
......
И периодически получаю в лог вот такие записи:
Oct 23 17:22:44 server kernel: New not syn:IN= OUT=lo SRC=192.168.1.1
DST=192.168.1.1 LEN=51 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP
SPT=36977 DPT=143 WINDOW=49188 RES=0x00 ACK PSH FIN URGP=0
Oct 23 17:23:10 server last message repeated 5 times
Oct 23 17:24:30 server last message repeated 2 times
Что это такое? Кто может посылать с интерфейса lo пакеты NEW без бита
--syn? Или я не правильно настроил фильтрацию?
Слава Д.
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [Comm] Битые пакеты?
2003-10-23 14:43 [Comm] Битые пакеты? Slava Dubrovskiy
@ 2003-10-26 13:28 ` Borovoy M.
0 siblings, 0 replies; 2+ messages in thread
From: Borovoy M. @ 2003-10-26 13:28 UTC (permalink / raw)
To: community
Slava Dubrovskiy пишет:
> Hello Community!
>
> Стоит вот такой фильтр
> ......
> $IPTABLES -N
> bad_tcp_packets
>
> $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG
> --log-prefix "New not syn:"
> $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
> ......
> $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
> ......
>
> И периодически получаю в лог вот такие записи:
>
> Oct 23 17:22:44 server kernel: New not syn:IN= OUT=lo SRC=192.168.1.1
> DST=192.168.1.1 LEN=51 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP
> SPT=36977 DPT=143 WINDOW=49188 RES=0x00 ACK PSH FIN URGP=0
> Oct 23 17:23:10 server last message repeated 5 times
> Oct 23 17:24:30 server last message repeated 2 times
>
> Что это такое? Кто может посылать с интерфейса lo пакеты NEW без бита
> --syn? Или я не правильно настроил фильтрацию?
man iptables: "... NEW meaning that the packet has started a new
connection, or otherwise associated with a connection which has not
seen packets in both directions ..."
"... NEW означает, что пакеты начинают новое соединение, или же связаны
с соединением, которое не видит пакеты в обоих направлениях..."
Сколько не экспериментировал с установкой соединения по TCP - всегда в
состоянии NEW был только первый пакет с битом SYN.
В самом деле, в каких еще случаях пакет считается NEW?
> Слава Д.
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
>
--
С уважением, Боровой Михаил
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2003-10-26 13:28 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-10-23 14:43 [Comm] Битые пакеты? Slava Dubrovskiy
2003-10-26 13:28 ` Borovoy M.
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git