11/01/02 04:26:59 5537oach.net
というか
>>409
何度も読み返して気になってたんだが
URLリンク(www.asahi-net.or.jp)
よく読んで
>>409でクライアントはウィンドウズ
ウィンドウズ以外でも同じ現象が出るかテストする
マイクロソフト製品は時としてコネクションが切れNEWステートになり
iptables -A FORWARD -p tcp ! --syn -m state --stat NEW -j STEALTH_SCAN
で弾かれてるんじゃないか とか
気になるならルールの最後に--log-tcp-options つけろとも言ってるでござる
>「ESTABLISHEDかつSYN」なパケット。何故このようなものが生じるのだろう。
>発生頻度は低く、再現性も無いが、たま~にポツリ…と発生する。
iptablesをすり抜けるため意図的に作られたパケット
パケットキャプチャで監視
どこから来てどこへ行くか
iptables入れた鯖外部に公開してるなら 狙われてるんかもな
ハカーは少しずつこういうイレギュラーなパケット流して進入経路作るし
あるいはNSAに送信されるバックドア!
>>409のDROPログは正常じゃないの?
iptables -A FORWARD -i eth1 -o eth0 -p tcp ! --syn -m state --state ESTABLISHED -j ACCEPT
eth1からeth0のSYNビットがついていないコネクション継続中のTCPパケットを許可
DROPログはSYNビットがついているから弾かれた
SYNビットは開始要求パケットで継続中のパケットにはそんなものいらない
「ESTABLISHEDかつSYN」なパケット。はNSAがバックドアを仕掛けるために作られたのだ!