Dziwny objaw iptables

[Marek Guevara Braun]

Patrycjusz Fudała wrote:

> To jest w logu z iptables:
> May 15 13:29:52 alfa kernel: IN=eth3 OUT=eth0 SRC=192.168.99.2 
> DST=10.11.11.3 LEN=129 TOS=0x00 PREC=0x00 TTL=63 ID=4256 DF PROTO=TCP 
> SPT=465 DPT=43522 WINDOW=15180 RES=0x00 ACK PSH URGP=0

Jakie regułu odpowadają za powyższe logi. Jakoś brakuje mi tu pozycji
MAC=....

> A reguły odpowiedzialne za przepuszczenie tego pakietu to:
> iptables -A FORWARD -i $ETH_LAN -o $ETH_DMZ_1 -j internal_dmz_1
> iptables -A FORWARD -i $ETH_DMZ_1 -o $ETH_LAN -j dmz_1_internal

Czy nie lepiej mieć jedno
iptales -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
i kontrolować tylko nowe sesje ?

> poniżej reguła która otwiera ruch z sieci lokalnej do serwera poczty
> 
> iptables -A internal_dmz_1 -p tcp -d $DMZ_1_SMTP_POP_IP -m multiport\
>  --dport $SMTP_POP_TCP -m state --state NEW,ESTABLISHED,RELATED\
>  -j ACCEPT

Czy jest jakiś specjalny powód dla którego przepuszczasz nowe sesje
bez ustawionego bitu SYN (skany itp) ?

Co poza ww. regułką znajduje się w łańcuchu internal_dmz_1

Co to jest $SMTP_POP_TCP, $ETH_LAN, $ETH_DMZ_1, $DMZ_1_SMTP_POP_IP ?

> poniżej reguła powrotna  z serwera poczty
> 
> iptables -A dmz_1_internal -p tcp -m state --state ESTABLISHED,RELATED\
>  -j ACCEPT

Co poza ww. regułką znajduje się w łańcuchu dmz_1_internal ?

Dlaczego rozróżniasz nawiązaną sesje idącą w jednym kierunku od sesji
idącej w drugim kierunku? Jakieś logowanie, znakowanie, limitowanie?

> w takiej konfiguracji działało na 2.6.8-4

Jakie moduły związane z iptables miałeś załadowane na starej wersji
jądra, a jakie teraz? jakieś conntrack ? Kiedyś pamiętam była jakaś
zmiana nazwy modułu odpowiadającego za śledzenie sesji - może nie masz
wszystkiego załadowanego?

Pozdrawiam,
Marek