Главная страница
О проекте Навигация Контакт
Поиск


ru.linux

 
 - RU.LINUX ---------------------------------------------------------------------
 From : Timur Irmatov                        2:5020/400     18 Dec 2001  17:51:43
 To : All
 Subject : kernel 2.4 iptables LOG target
 -------------------------------------------------------------------------------- 
 
 
 Здравствуйте !
 
 Обнаружилась следующая проблема.
 Hа машине с ядром 2.4.11 с iptables построен файрвол.  Default policy как
 для INPUT, так и для OUTPUT - REJECT.  После ряда правил, задающих
 принимаемые пакеты, есть правило, задача которого - записать пакет, который
 будет сброшен, в лог.  То есть, примерно так:
 iptables -P INPUT REJECT
 iptables -F INPUT
 iptables -A INPUT -p tcp --dport pop3 -j ACCEPT
 .......... (еще куча ACCEPT)
 iptables -A -m limit --limit 10/minut -j LOG --log-level info --log-prefix
 FWINP
 
 аналогично задаются правила и для OUTPUT.
 
 Firewall работает, какие нужно соединения проходят, остальные отвергаются.
 но в логах пишет про отвергнутые пакеты, которые принадлежат _принятым_
 соединениям... то есть для проверки сделал telnet 127.0.0.1 pop3 - все
 нормально, проверил пароль.... но в логах вижу такое:
 
 Dec 18 17:46:42 mta kernel: FWOUT IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1
 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=21328 PROTO=TCP SPT=1811 DPT=110
 WINDOW=32767 RES=0x00 ACK URGP=0
 Dec 18 17:46:42 mta kernel: FWINP IN=lo OUT=
 MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1
 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=19778 DF PROTO=TCP SPT=110 DPT=1811
 WINDOW=32767 RES=0x00 ACK FIN URGP=0
 Dec 18 17:46:42 mta kernel: FWOUT IN= OUT=lo SRC=127.0.0.1 DST=127.0.0.1
 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=64949 PROTO=TCP SPT=1811 DPT=110
 WINDOW=32767 RES=0x00 ACK FIN URGP=0
 Dec 18 17:46:42 mta kernel: FWINP IN=lo OUT=
 MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1
 LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=19779 DF PROTO=TCP SPT=110 DPT=1811
 WINDOW=32767 RES=0x00 ACK URGP=0
 
 Что это ??? неправильно работает LOG ? или firewall действительно временами
 отвергает некоторые пакеты ...
 ээх.........
 
 на какие еще грабли можно наступить с 2.4 ядром ?
 
 Заранее спасибо,
 Тимур
 -- 
 Отправлено через сервер Talk.Ru - http://www.talk.ru
 --- ifmail v.2.15dev5
  * Origin: Talk.Ru (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 kernel 2.4 iptables LOG target   Timur Irmatov   18 Dec 2001 17:51:43 
 Re: kernel 2.4 iptables LOG target   Slava Astashonok   19 Dec 2001 11:37:49 
 Re: kernel 2.4 iptables LOG target   Timur Irmatov   19 Dec 2001 12:02:26 
 Re: kernel 2.4 iptables LOG target   yx   20 Dec 2001 06:15:20 
Архивное /ru.linux/648880972614.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional