DROP_NEW_NOTSYN zu news-servern?

01/10/2016 - 16:46 von Kay Martinen | Report spam
Hallo

ich bemerke seit einiger Zeit öfters lange wartezeiten wenn ich mit
meinem NUA auf tota-refugium.de zugreife. Die kommen nicht immer vor.
Aber so alle paar dutzend gelesene artikel braucht es dann lànger oder
es kommt teilweise gar nichts an. Und wenn doch dann mit verstümmelten
Sonderzeichen.

Im FW-Log des IPfire finde ich Eintràge wie diese:

DROP_NEWNOTSYN green0 TCP 192.168.1.30 39062 148.251.67.112 119
DROP_NEWNOTSYN green0 TCP 192.168.1.21 55986 130.133.110.85 119

Die eine IP ist tota, der andere ist spline.de

Aber warum NEWNOTSYN? Das sind doch verbindungen die VON INNEN initiiert
werden (green0). Das sieht aus als ob die firewall da etwas verschluckt
was sie nicht soll oder etwas anderes hakt.

Kann das am Client liegen, also am NUA (siehe Header). Das der die
verbindung nicht richtig neu auf macht oder àhnliches?

Ein interner News-server (SN on Eisfair) der news.spline.de abfragt
scheint davon ebenfalls betroffen zu sein (2. Zeile).

Die FW hat m.W. keine Regeln die das Verhalten erklàrten und das es ein
Fehlschuß des IDS mit Snort-Community-rules ist sehe ich nicht weil die
obigen Eintràge aus dem Firewall-log sind - im IDS-Log aber dazu nichts
auftaucht. Das IDS WAR allerdings auch auf dem Internen LAN (green)
aktiv, das habe ich testweise eben mal deaktiviert.

Aber erklàren kann ich das dennoch noch nicht. Weiß jemand mehr?

Kay
https://www.linuxcounter.net/cert/224140.png
 

Lesen sie die antworten

#1 Nomen Nescio
02/10/2016 - 15:28 | Warnen spam
Kay Martinen wrote:

Aber erklàren kann ich das dennoch noch nicht. Weiß jemand mehr?



NAT-Timeout. Mit REJECT statt DROP gàbe es keine Wartezeit im NUA.

Ähnliche fragen