IPTables Logging Problem

toberkel · Beitrag von **toberkel** » 19.10.2007 23:59:13

Hi.

Ich hab hab da irgendwie ein seltsames Problem. Ich hab vor Kurzem mal in meiner FORWARD-Chain Logging aktiviert. Seitdem bekomme ich immer folgende Einräge im Log:

Code: Alles auswählen

Oct 19 19:01:18 router kernel: firewall drop (FORWARD): IN=eth0 OUT=tun0 SRC=10.23.0.1 DST=10.23.4.33 LEN=46 TOS=0x00 PREC=0x00 TTL=127 ID=12088 DF PROTO=TCP SPT=1447 DPT=5900 WINDOW=64842 RES=0x00 ACK PSH URGP=0
Oct 19 19:01:18 router kernel: firewall drop (FORWARD): IN=tun0 OUT=eth0 SRC=10.23.4.33 DST=10.23.0.1 LEN=468 TOS=0x00 PREC=0x00 TTL=127 ID=1715 DF PROTO=TCP SPT=5900 DPT=1447 WINDOW=16554 RES=0x00 ACK PSH URGP=0

Also das past soweit. Ich connecte von eth0 zu einem OpenVPN-Peer der hinter tun0 hängt. Ich verwende dabei VNC, also passt der Port 5900 auch. Was ich mir nur nicht erklären kann, wieso kommt die Verbindung astrein zustande, aber es werden trotzdem Pakete gedroppt? Und zwar richtig viele...

Die IPTables-Chain FORWARD sie bei mir so aus... Also zumindest für eth0 und tun0...

Code: Alles auswählen

iptables -A FORWARD -i tun0 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

Hat jemand evtl. eine Idee?

MfG,

toberkel

gms · Beitrag von **gms** » 20.10.2007 00:09:40

wenn das deine Forward Regeln sind, dann würde ich den log-Prefix überprüfen, der dürfte wohl irreführend sein

Das würde auch erklären, warum deine VNC Verbindung trotzdem funktioniert

Gruß
gms

toberkel · Beitrag von **toberkel** » 20.10.2007 00:14:56

Hmm...

Die Logging-Regel sieht so aus und steht ganz am Ende der FORWARD-Chain

Code: Alles auswählen

iptables -A FORWARD -j LOG --log-prefix "firewall drop (FORWARD): "

Was stimmt daran nicht?

gms · Beitrag von **gms** » 20.10.2007 00:19:49

poste einmal "iptables -nvL FORWARD"

toberkel · Beitrag von **toberkel** » 20.10.2007 00:22:23

Ok, ist aber viel

Code: Alles auswählen

router:~# iptables -nvL FORWARD
Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  974  463K blocked-ips  0    --  *      *       0.0.0.0/0            0.0.0.0/0
   86  4108 TCPMSS     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp flags:0x06/0x02 TCPMSS clamp to PMTU
  451  126K ACCEPT     tcp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           tcp dpt:80 state NEW,RELATED,ESTABLISHED
  453  328K ACCEPT     tcp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        tcp spt:80 state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           tcp dpt:443 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        tcp spt:443 state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           tcp dpt:20 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        tcp spt:20 state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           tcp dpt:21 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        tcp spt:21 state RELATED,ESTABLISHED
    5   380 ACCEPT     udp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           udp dpt:123 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     udp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        udp spt:123 state RELATED,ESTABLISHED
    6   246 ACCEPT     tcp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           tcp dpt:5190 state NEW,RELATED,ESTABLISHED
    6   790 ACCEPT     tcp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        tcp spt:5190 state RELATED,ESTABLISHED
    6   455 ACCEPT     tcp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           tcp dpt:50019 state NEW,RELATED,ESTABLISHED
    5   357 ACCEPT     tcp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        tcp spt:50019 state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           tcp dpt:465 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        tcp spt:465 state RELATED,ESTABLISHED
   23  1912 ACCEPT     tcp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           tcp dpt:993 state NEW,RELATED,ESTABLISHED
   19  5239 ACCEPT     tcp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        tcp spt:993 state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   ppp0    10.23.0.0/22         0.0.0.0/0           tcp dpt:11371 state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  ppp0   eth0    0.0.0.0/0            10.23.0.0/22        tcp spt:11371 state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  eth0   ppp0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  ppp0   eth0    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  ppp0   tun1    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  tun1   ppp0    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  ppp0   tun0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  tun0   ppp0    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  ppp0   tun2    0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  tun2   ppp0    0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     0    --  tun0   eth0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  eth0   tun0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  tun1   eth0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  eth0   tun1    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  tun1   tun0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  tun0   tun1    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  tun0   tun0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     0    --  tun0   tun0    0.0.0.0/0            0.0.0.0/0           state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  eth0   eth1    10.23.0.1            192.168.1.1         state NEW
    0     0 ACCEPT     icmp --  eth1   eth0    192.168.1.1          10.23.0.1           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   eth1    10.23.0.1            192.168.1.1         tcp dpt:80
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.1.1          10.23.0.1           tcp spt:80
    0     0 ACCEPT     tcp  --  eth0   eth1    10.23.0.1            192.168.1.1         tcp dpt:23
    0     0 ACCEPT     tcp  --  eth1   eth0    192.168.1.1          10.23.0.1           tcp spt:23
    0     0 ACCEPT     icmp --  eth0   tun3    10.23.0.1            10.0.0.0/8          state NEW
    0     0 ACCEPT     icmp --  tun3   eth0    10.0.0.0/8           10.23.0.1           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  eth0   tun3    10.23.0.1            10.49.88.34         tcp dpt:4899
    0     0 ACCEPT     tcp  --  tun3   eth0    10.49.88.34          10.23.0.1           tcp spt:4899
    0     0 ACCEPT     tcp  --  eth0   tun3    10.23.0.1            10.49.88.34         tcp dpt:3389
    0     0 ACCEPT     tcp  --  tun3   eth0    10.49.88.34          10.23.0.1           tcp spt:3389
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.23.0.1           tcp dpt:4780
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.23.0.1           udp dpt:4781
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.23.0.1           tcp dpts:5050:5100
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            10.23.0.1           tcp dpt:55555
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            10.23.0.1           udp dpt:55555
    0     0 LOG        0    --  *      *       0.0.0.0/0            0.0.0.0/0           LOG flags 0 level 4 prefix `firewall drop (FOR                                WARD): '
router:~#

gms · Beitrag von **gms** » 20.10.2007 00:31:20

also aktuell schauen deine Forward Regeln anders, wie im ersten Beitrag aus

unter dieser Vorraussetzung, kommen diese geloggten Pakete durch einen nicht korrekten Verbindungsabbau. Daher ist der Status zu diesem Zeitpunkt schon INVALID

Gruß
gms

toberkel · Beitrag von **toberkel** » 20.10.2007 00:33:34

Ja, ich habe grade

Code: Alles auswählen

-m state --state NEW,ESTABLISHED,RELATED

ergänzt. Kann es nun leider aber nicht mehr testen. Könnte es auch damit zusammenhängen?

gms · Beitrag von **gms** » 20.10.2007 00:50:26

mit den Regeln aus deinem ersten Beitrag, dürfen diese Logmeldungen nicht vorkommen. Mit den neuen Regeln, auch nicht, außer der Status ist INVALID ( oder UNTRACKED ). Netfilter kann diese Pakete also keiner Verbindung zuordnen. Das kann bei Verbindungsabbrüchen passieren, kann aber auch auf einen Angriff hindeuten.

Gruß
gms

toberkel · Beitrag von **toberkel** » 20.10.2007 00:52:31

Also bei den Regeln aus dem ersten Post, kamen die Logmeldungen definitiv.

Mit den neuen konnte ich es wie gesagt noch nicht testen

Werd dies aber morgen direkt tun.. Ja, morgen ist erst wenn ich aufwache