[Comm] Битые пакеты?

Вс Окт 26 16:28:06 MSK 2003

Slava Dubrovskiy пишет:

> Hello Community!
> 
> Стоит вот такой фильтр
> ......
> $IPTABLES -N 
> bad_tcp_packets                                                                                  
> 
> $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG  
> --log-prefix "New not syn:"
> $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
> ......
> $IPTABLES -A INPUT -p tcp -j bad_tcp_packets
> ......
> 
> И периодически получаю в лог вот такие записи:
> 
> Oct 23 17:22:44 server kernel: New not syn:IN= OUT=lo SRC=192.168.1.1 
> DST=192.168.1.1 LEN=51 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=TCP 
> SPT=36977 DPT=143 WINDOW=49188 RES=0x00 ACK PSH FIN URGP=0
> Oct 23 17:23:10 server last message repeated 5 times
> Oct 23 17:24:30 server last message repeated 2 times
> 
> Что это такое? Кто может посылать с интерфейса lo пакеты NEW без бита 
> --syn? Или я не правильно настроил фильтрацию?

man iptables: "... NEW meaning that the packet has started a new 
connection, or  otherwise associated  with  a  connection which has not 
seen packets in both directions ..."
"... NEW означает, что пакеты начинают новое соединение, или же связаны 
с соединением, которое не видит пакеты в обоих направлениях..."

Сколько не экспериментировал с установкой соединения по TCP - всегда в 
состоянии NEW был только первый пакет с битом SYN.
В самом деле, в каких еще случаях пакет считается NEW?

> Слава Д.
> 
> _______________________________________________
> Community mailing list
> Community на altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
> 

-- 
С уважением, Боровой Михаил