frage zu einem iptables syslog eintrag
Posted: 22. Mar 2006 13:16
Hallo,
ich habe in meinem syslog mehrere zeilen die ich nicht verstehe, vieleicht kann mir ja jemand erklären was das ist bzw. wie das möglich ist.
dazu erstmal eine übersicht über mein system:
Ein Linux (debian) rechner der per dsl (pppoe) auf interface ppp0 im internet hängt.
Es gibt drei lokale subnetze eth0, eth1, eth3.
Es ist kein portforwarding configuriert.
die anweisungen:
iptables -A FORWARD -i eth2 -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
stehen relativ weit vorne im script und sorgen dafür das verbindungen die von innen angestoßen wurden erlaubt sind.
das sollte doch dafür sorgen das verbindungen von eth2 nach ppp0 und zurück (über nat) möglich sind.
jetzt finde ich im syslog mehrere einträge der art:
Mar 21 21:30:23 gateway kernel: INET REJECT IN=ppp0 OUT=eth2 SRC=81.22.34.114 DST=192.168.1.131 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=37899 DF PROTO=TCP SPT=80 DPT=1433 WINDOW=6144 RES=0x00 ACK SYN URGP=0
Das scheint mir auf den ersten blick eine antwort auf einen http request zu sein, aber warum wurde er dann nicht von den obrigen regeln acceptiert befor er ganz am ende des scripts gelogt und rejected wurde?
Und wenn es keine antwort ist, wie kann ein request von außen einen rechner in einem subnetz innen direkt ansprechen?
Ich währe dankbar wenn mir jemand erklären könnte wie dieser eintrag im logfile zustandekommt.
ich habe in meinem syslog mehrere zeilen die ich nicht verstehe, vieleicht kann mir ja jemand erklären was das ist bzw. wie das möglich ist.
dazu erstmal eine übersicht über mein system:
Ein Linux (debian) rechner der per dsl (pppoe) auf interface ppp0 im internet hängt.
Es gibt drei lokale subnetze eth0, eth1, eth3.
Es ist kein portforwarding configuriert.
die anweisungen:
iptables -A FORWARD -i eth2 -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT
stehen relativ weit vorne im script und sorgen dafür das verbindungen die von innen angestoßen wurden erlaubt sind.
das sollte doch dafür sorgen das verbindungen von eth2 nach ppp0 und zurück (über nat) möglich sind.
jetzt finde ich im syslog mehrere einträge der art:
Mar 21 21:30:23 gateway kernel: INET REJECT IN=ppp0 OUT=eth2 SRC=81.22.34.114 DST=192.168.1.131 LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=37899 DF PROTO=TCP SPT=80 DPT=1433 WINDOW=6144 RES=0x00 ACK SYN URGP=0
Das scheint mir auf den ersten blick eine antwort auf einen http request zu sein, aber warum wurde er dann nicht von den obrigen regeln acceptiert befor er ganz am ende des scripts gelogt und rejected wurde?
Und wenn es keine antwort ist, wie kann ein request von außen einen rechner in einem subnetz innen direkt ansprechen?
Ich währe dankbar wenn mir jemand erklären könnte wie dieser eintrag im logfile zustandekommt.