Como entender por que o pacote foi considerado INVÁLIDO pelo 'iptables'?

11

Eu configurei algumas regras iptables para registrar e descartar os pacotes INVALID ( --state INVALID ). Lendo os logs como posso entender porque o pacote foi considerado inválido? Por exemplo, o seguinte:

Nov 29 22:59:13 htpc-router kernel: [6550193.790402] ::IPT::DROP:: IN=ppp0 OUT= MAC= SRC=31.13.72.7 DST=136.169.151.82 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=5104 DF PROTO=TCP SPT=80 DPT=61597 WINDOW=0 RES=0x00 ACK RST URGP=0
    
por mbaitoff 03.12.2012 / 06:52

1 resposta

21

Os pacotes podem estar em vários estados ao usar a inspeção de pacotes com estado.

  • Novo : O pacote não faz parte de nenhum fluxo ou soquete conhecido e os sinalizadores TCP possuem o bit SYN ativado.
  • Estabelecido : o pacote corresponde a um fluxo ou soquete rastreado por CONNTRACK e possui qualquer sinalizador TCP. Depois que o handshake TCP inicial estiver concluído, o bit SYN deve estar desligado para que um pacote esteja no estado estabelecido.
  • Relacionado : O pacote não corresponde a nenhum fluxo ou soquete conhecido, mas o pacote é esperado porque existe um soquete existente que o predica (exemplos disso são dados na porta 20 quando há uma sessão FTP existente na porta 21, ou dados UDP para uma conexão SIP existente na porta TCP 5060). Isso requer um ALG associado ou
  • Inválido : Se nenhum dos estados anteriores se aplicar, o pacote estará no estado INVALID . Isso pode ser causado por vários tipos de probes de rede furtivos, ou pode significar que você está ficando sem CONNTRACK entradas (que você também deve ver em seus logs). Ou pode simplesmente ser totalmente benigno.

No seu caso, o pacote que você cita mostra que o TCP sinaliza ACK e RST , e que a porta de origem é 80 . O que isso significa é que o servidor web em 31.13.72.7 (que é o Facebook) enviou um pacote de redefinição para você. É totalmente impossível dizer por que sem ver os pacotes que vieram antes (se houver). Mas é mais provável que esteja a enviar-lhe uma reposição pela mesma razão que o seu computador considera inválida.

    
por 03.12.2012 / 09:12