ip6tables defekt?

16/03/2011 - 22:39 von Peter Mairhofer | Report spam
Hi,

Ich hab mit OpenWRT Kamikaze 8.09.1 (Linux 2.6.25.20) eine stateful
Firewall für IPv6 eingerichtet.

Pakete die geblockt werden, logge ich per -j LOG. Obwohl ich die
Verbindung explizit freigegeben habe, erscheinen stàndig folgende
Meldungen im Syslog:

kernel: FWD:INVALID:IN=eth0.3 OUT=eth0.2 SRC=$WEBSERVER DST=$NAGIOS
LENr TC=0 HOPLIMITc FLOWLBL=0 PROTO=TCP SPTD738 DPT€ WINDOW7
RES=0x00 ACK FIN URGP=0

(Hinweis: $WEBSERVER ist ein reverse proxy für $NAGIOS)

Die Verbindung selbst scheint problemlos zu funktionieren. Ist auch
klar, denn mit

ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

gebe ich alles, was nicht eine Verbindung initiiert, frei. Die Regel,
die die Verbindung freischaltet ist ebenfalls korrekt:

ip6tables -A FORWARD -i $DMZ -o $LAN -d $NAGIOS -p tcp --dport 80 -j ACCEPT

Die Logmeldungen schlussendlich werden durch folgende Regel generiert:

ip6tables -A FORWARD -m state --state INVALID -j LOG --log-prefix
"FWD:INVALID:"

Kurzum: Die Verbindung $WEBSERVER -> $NAGIOS:80 ist erfolgreich zustande
gekommen, trotzdem werden Pakete mit ACK,FIN (aber auch andere) als
INVALID state erkannt.

Kann mir jemand bestàtigen dass es hier einen Bug in im Paketfilter
gibt? Anders làsst sich das einfach nicht erklàren!

LG Peter


PS: Auf Wunsch liefere ich gerne nàhere Informationen, aber fürs erste
sind o.g. Regeln/Logs m.E. die ausreichende Information
 

Lesen sie die antworten

#1 Sven Hartge
16/03/2011 - 22:48 | Warnen spam
Peter Mairhofer wrote:

Ich hab mit OpenWRT Kamikaze 8.09.1 (Linux 2.6.25.20) eine stateful
Firewall für IPv6 eingerichtet.

Pakete die geblockt werden, logge ich per -j LOG. Obwohl ich die
Verbindung explizit freigegeben habe, erscheinen stàndig folgende
Meldungen im Syslog:

kernel: FWD:INVALID:IN=eth0.3 OUT=eth0.2 SRC=$WEBSERVER DST=$NAGIOS
LENr TC=0 HOPLIMITc FLOWLBL=0 PROTO=TCP SPTD738 DPT€ WINDOW7
RES=0x00 ACK FIN URGP=0



Ha! Ich habe das nicht nur bei IPv6, sondern auch bei IPv4, dass ACK/FIN
nach INVALID rutschen. Du kannst ja einmal mit den Timeouts spielen,
dass hat bei mir teilweise geholfen.

Ganz habe ich das aber noch nicht weg bekommen.

Allerdings habe ich, bis auf die Meldungen, keine negativen Effekte
bemerken können.

Merkwürdig finde ich dies, ebenso wie du, auch.

(Linux 2.6.32 aus Debian Squeeze, Multicore-x86_64-System, im Schnitt
80k aktive Verbindungen.)

Wenn ich Zeit, Lust und Wartungsfenster finde, teste ich einmal 2.6.37
oder 2.6.38, ob sich da etwas im Netfilter getan hat.



Sig lost. Core dumped.

Ähnliche fragen