|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Pavel Alex 2:469/1 03 Sep 2004 11:45:41
To : All
Subject : Iptables
--------------------------------------------------------------------------------
Hикто не сталкивался с проблемой, что iptables не "спотыкается" там где не
должен?
Имеем Redhat 3 с "тупым" iptables типа
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
......
-A RH-Firewall-1-INPUT -j LOG --log-tcp-options --log-ip-options
-A RH-Firewall-1-INPUT -j DROP
COMMIT
Завалили его большим кол-вом писем на отправку (выписки наши). Почта уходит, но
непонятно почему в логе появляются записи типа
Sep 2 22:03:28 egateway kernel: IN=eth0 OUT= MAC=00:0d:60:. SRC=80.97.56.19
DST=195.22.231.18 LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=18857 PROTO=TCP SPT=25
DPT=60176 WINDOW=57456 RES=0x00 ACK URGP=0
Это пакет от "выходящей" сесии на 25 порт. По всем правилам, раз у него ACK
flag, он должен "проскочить" по -J ACCEPT со --state ESTABLISHED. Hо вот не
прошло. Странно.
Есть 2 нюанса:
- писем очень много и sendmail сессий относительно тоже (ну сейчас там 100)
- у меня shaper на Cisco на выходящий smtp траффик. Возможны потери пакетов.
With best wishes, Pavel
Internet e-mail: palexey#victoriabank.md
--- GoldED/W32 3.0.1
* Origin: Pavel Alexey, Chisinau, Moldova *+373 2 576347* (2:469/1)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Iptables |
Pavel Alex |
03 Sep 2004 11:45:41 |
|
|
