Por que essas conexões não são classificadas como “estabelecidas” sob conntrack?

3

Eu tenho a seguinte regra para iptables :

-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

de modo que as conexões de saída não classificadas como estabelecidas sejam registradas. Ocasionalmente, o log de saída do firewall captura esses pacotes:

09:56:48 DST=a.b.167.208 TTL=64 SPT=80 DPT=25960 WINDOW=119 ACK URGP=0
09:48:48 DST=a.b.166.231 TTL=64 SPT=80 DPT=29861 WINDOW=119 ACK PSH URGP=0
09:29:57 DST=a.b.167.244 TTL=64 SPT=80 DPT=58244 WINDOW=119 ACK URGP=0

Após uma análise mais aprofundada, o log de acesso ao servidor da web revela que há conexões de entrada correspondentes aos endereços IP acima de 75-100s anteriormente.

Por que as conexões acima não são classificadas como estabelecidas pelo módulo conntrack? E o que poderia ser feito para filtrar o barulho?

    
por Question Overflow 16.11.2014 / 08:49

1 resposta

0

Pelo que entendi, uma conexão TCP entra apenas em ESTABLISHED state após a ACK ter passado, e os pacotes ACK são exatamente o que você parece estar registrando (e bloqueando) lá.

link

Você já tentou --ctstate ESTABLISHED,RELATED ?

Apenas registrando "ocasionalmente" como você disse: o dmesg / syslog não captura todos os pacotes. Se muitas mensagens semelhantes forem recebidas, elas serão descartadas para evitar a inundação de logs. Isso é configurável, mas está além do escopo desta questão.

    
por 11.12.2014 / 18:53