[Sysadmins] странное поведение iptables log
Anton Gorlov
stalker на altlinux.ru
Ср Янв 22 13:26:01 MSK 2014
Есть на сервере правило вида
===
-A OUTPUT -o eth1 -m state --state NEW -m recent --update --seconds 60
--hitcount 150 --name DEFAULT --rdest -j LOG --log-prefix
"iptables_flud: " --log-uid
-A OUTPUT -o eth1 -m state --state NEW -m recent --update --seconds 60
--hitcount 150 --name DEFAULT --rdest -j REJECT --reject-with
icmp-port-unreachable
-A OUTPUT -o eth1 -m state --state NEW -m recent --set --name DEFAULT
--rdest
===
Всё было ок последний год наверное, а вчера на 1 сервере начало
твориться странное в логах, а именно
====
iptables_flud: IN= OUT=eth1 SRC=193.106.xx.131 DST=109.207.13.125
LEN=1420 TOS=0x00 PREC=0x00 TTL=64 ID=50669 DF PROTO=TCP SPT=80
DPT=19411 WINDOW=54 RES=0x00 ACK URGP=0
iptables_flud: IN= OUT=eth1 SRC=193.106.xx.131 DST=109.207.13.125
LEN=1420 TOS=0x00 PREC=0x00 TTL=64 ID=28375 DF PROTO=TCP SPT=80
DPT=22156 WINDOW=54 RES=0x00 ACK URGP=0
iptables_flud: IN= OUT=eth1 SRC=193.106.xx.131 DST=109.207.13.125
LEN=1420 TOS=0x00 PREC=0x00 TTL=64 ID=33580 DF PROTO=TCP SPT=80
DPT=22717 WINDOW=54 RES=0x00 ACK URGP=0
iptables_flud: IN= OUT=eth1 SRC=193.106.xx.131 DST=109.207.13.125
LEN=1420 TOS=0x00 PREC=0x00 TTL=64 ID=32287 DF PROTO=TCP SPT=80
DPT=21456 WINDOW=54 RES=0x00 ACK URGP=0
===
То есть нету uid/gid того кто породил пакеты.
Как такое может быть?
до этого в логи писалось
iptables_flud: IN= OUT=eth0 SRC=193.106.xx.131 DST=85.202.242.13 LEN=60
TOS=0x00 PREC=0x00 TTL=64 ID=22828 DF PROTO=TCP SPT=59956 DPT=80
WINDOW=5840 RES=0x00 SYN URGP=0 UID=1563 GID=10002
Подробная информация о списке рассылки Sysadmins