Frage zu IPTables Logeinträgen

[Mordor]

Mahlzeit allerseits.
Seit zwei Tagen bekomme ich immer wieder Einträge in der folgenden Art:

Dec 29 16:04:14 meinserver kernel: IN=eth0 OUT= MAC=00:e0:4c:4c:11:92:00:02:85:0e:bc:xx:xx:xx SRC=72.5.230.65 DST=213.239.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=54 ID=62913 DF PROTO=TCP SPT=47708 DPT=80 WINDOW=1728 RES=0x00 ACK FIN URGP=0
Dec 29 16:04:14 meinserver kernel: IN=eth0 OUT= MAC=00:e0:4c:4c:11:92:00:02:85:0e:bc:xx:xx:xx SRC=72.5.230.65 DST=213.239.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=54 ID=62913 DF PROTO=TCP SPT=47708 DPT=80 WINDOW=1728 RES=0x00 ACK FIN URGP=0

Das Ganze sind Pakete, die IPTables mitloggt, und nach dem loggen verwirft. Mich würde nur interessieren, was dieser Jemand da vor hat. Vieleicht kann mir da jemand weiter helfen.

Danke schon mal

Gruß Mordor

 

[Firewire2002]

DPT=80

DPT = Destination Port

Der versucht nur auf dein Webserver zuzugreifen.

 

[elias5000]

Dec 29 16:04:14 meinserver kernel: IN=eth0 OUT= MAC=00:e0:4c:4c:11:92:00:02:85:0e:bc:xx:xx:xx SRC=72.5.230.65 DST=213.239.xxx.xxx LEN=52 TOS=0x00 PREC=0x00 TTL=54 ID=62913 DF PROTO=TCP SPT=47708 DPT=80 WINDOW=1728 RES=0x00 ACK FIN URGP=0

Dieser Jemand (72.5.230.65) wollte ein Paket an Port 80 TCP (HTTP) senden.
Anscheinend ein FIN-ACK Paket (Bestätigung des Session-Close-Request des Kommunikationspartners).

 

[Mordor]

Okay, jetzt weiss ich schon mal mehr.

Dann ist es doch anscheinend so, dass das FIN-Paket nicht sauber gesendet ist, bzw. dass der Handshake nicht sauber abläuft, sonst würde IPTables das ja nicht mitloggen und droppen?

 

[Firewire2002]

IPTables loggen das, was du ihm sagst.
Wenn du ihm sagst er soll alls (auch erfolgreiche Pakete) loggen, dann tut er das auch.

Dem Logeintrag ist nicht zu entnehmen ob er es verworfen hat oder was auch immer damit geschehen ist.
Da steht ausschließlich das es ein solches Paket gab.

 

[Mordor]

Stimmt, ohne die Regeln kann man da wohl wirklich ziemlich wenig Aussagen treffen. Hier mal die Regeln:

iptables -N log
iptables -A INPUT -m state --state INVALID -j log
iptables -A INPUT -p tcp --tcp-flags ALL, FIN,URG,PSH -j log
iptables -A INPUT -p tcp --tcp-flags ALL, NONE -j log
iptables -A INPUT -p tcp --tcp-flags NONE, ALL -j log
iptables -A INPUT -p ICMP --icmp-type destination-unreachable -j log
iptables -A INPUT -p ICMP --icmp-type source-quench -j log
iptables -A INPUT -p ICMP --icmp-type redirect -j log
iptables -A INPUT -p ICMP --icmp-type address-mask-request -j log
iptables -A log -p TCP -j LOG
iptables -A log -p ICMP -j LOG
iptables -A log -p TCP -j DROP
iptables -A log -p ICMP -j DROP

Ich hoff mal, das ich da ned nen dummen Fehler drin habe. Aber mich würde immer noch interessieren, was da genau passiert.

Gruß Mordor

 

[Mordor]

So, falls es jemanden interessiert, ich bin jetzt auf das Problem gestossen.

Die ganzen Anfragen kommen von einem Server, der eigentlich testen soll, ob mein Apache noch online ist. Dieses Skript setzt das Fin-Flag nicht sauber, bzw. bricht die Verbindung einfach wieder ab, da es eine bestimmte Domain nicht finden kann.

Gruß Mordor