Drop Iptables

Support Debian
#1

Bonjour à tous,

j’ai un iptables sur mes serveurs qui fonctionne, mais j’ai un comportement que je comprends pas :
certain packets sur le flux retour sont droppés.

Je m’explique, sur mon serveur j’autorise le port 443 en entrée :

iptables -A INPUT -p tcp -s any -d ${HOSTNAME} -m conntrack --ctstate NEW --dport 443 -j ACCEPT

je garde bien les sessions établies :
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Dans mes logs je vois certain packet retour (du serveur apache vers le client) droppés :

IN= OUT=eth0 SRC=192.168.0.1 DST=192.168.0.2 LEN=818 TOS=0x00 PREC=0x00 TTL=64 ID=42636 DF PROTO=TCP SPT=443 DPT=56587 WINDOW=33 RES=0x00 ACK PSH URGP=0

Il s’agit bien d’un packet ACK.

Es-ce un bug Iptables ?

#2

Bonjour,
Le module conntrack que tu utilise peux poser problème.
Modifie tes règles comme ceci :


iptables -A INPUT -p TCP  -d ${HOSTNAME}         --dport 443       -j ACCEPT

------------------------------------------------------------------------------

iptables -A INPUT   -m state --state ESTABLISHED,RELATED    -j ACCEPT
iptables -A OUTPUT   -m state --state ESTABLISHED,RELATED    -j ACCEPT

Cordialement Mini

#3

Source ?
A ma connaissance, la correspondance “state” que tu proposes à la place de “conntrack” est équivalente, les deux ne font que vérifier l’état attribué par le suivi de connexion.

#4

[quote=“romgo”]Bonjour à tous,

j’ai un iptables sur mes serveurs qui fonctionne, mais j’ai un comportement que je comprends pas :
certain packets sur le flux retour sont droppés.

Je m’explique, sur mon serveur j’autorise le port 443 en entrée :

iptables -A INPUT -p tcp -s any -d ${HOSTNAME} -m conntrack --ctstate NEW --dport 443 -j ACCEPT

je garde bien les sessions établies :
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Dans mes logs je vois certain packet retour (du serveur apache vers le client) droppés :

IN= OUT=eth0 SRC=192.168.0.1 DST=192.168.0.2 LEN=818 TOS=0x00 PREC=0x00 TTL=64 ID=42636 DF PROTO=TCP SPT=443 DPT=56587 WINDOW=33 RES=0x00 ACK PSH URGP=0

Il s’agit bien d’un packet ACK.

Es-ce un bug Iptables ?[/quote]
tu peux modifier/jouter :NE, ESTABLISHED,RELATED, sans accepter les paquet ni les dropper pour voir si c est pas le suivis de connexion, mai j’ai pas de serveur apache + port droper, et j’ai plein de connections sur le port 80 depuis plus de 4 ans … je me demande parfois si apache a pas une faille non découverte pour que sa insiste autemps …

 SRC=94.102.51.246 DST=91.121.XXX.XXX LEN=40 TOS=00 PREC=0x00 TTL=123 ID=27947 DF PROTO=TCP SPT=45315 DPT=80 SEQ=454578090 ACK=0 WINDOW=65535 SYN URGP=0 
 SRC=66.249.73.111 DST=91.121.XXX.XXX LEN=52 TOS=00 PREC=0x00 TTL=45 ID=54967 CE PROTO=TCP SPT=60766 DPT=80 SEQ=1610310248 ACK=0 WINDOW=62920 SYN URGP=0 
 SRC=94.242.217.34 DST=91.121.XXX.XXX LEN=48 TOS=00 PREC=0x00 TTL=119 ID=21764 DF PROTO=TCP SPT=1844 DPT=80 SEQ=3189532224 ACK=0 WINDOW=65535 SYN URGP=0 
 SRC=202.46.57.108 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=62244 CE DF PROTO=TCP SPT=29243 DPT=80 SEQ=869033376 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=119.63.193.196 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=42182 CE DF PROTO=TCP SPT=26804 DPT=80 SEQ=3755745949 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=202.46.53.133 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=37052 CE DF PROTO=TCP SPT=25687 DPT=80 SEQ=4270664702 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=119.63.193.131 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=46 ID=7742 DF PROTO=TCP SPT=59469 DPT=80 SEQ=2868161133 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=202.46.50.18 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=10941 DF PROTO=TCP SPT=28464 DPT=80 SEQ=3579367254 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=54.248.232.162 DST=91.121.XXX.XXX LEN=48 TOS=00 PREC=0x00 TTL=112 ID=24759 DF PROTO=TCP SPT=52803 DPT=80 SEQ=1671864853 ACK=0 WINDOW=8192 SYN URGP=0 
 SRC=178.33.173.8 DST=91.121.XXX.XXX LEN=48 TOS=00 PREC=0x00 TTL=124 ID=22922 DF PROTO=TCP SPT=4627 DPT=80 SEQ=2384454967 ACK=0 WINDOW=64240 SYN URGP=0 
 SRC=46.105.108.155 DST=91.121.XXX.XXX LEN=52 TOS=00 PREC=0x00 TTL=124 ID=24006 DF PROTO=TCP SPT=59354 DPT=80 SEQ=2694050668 ACK=0 WINDOW=8192 SYN URGP=0 
 SRC=202.46.55.189 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=40 ID=27248 DF PROTO=TCP SPT=32704 DPT=80 SEQ=2112410188 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=119.63.193.195 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=20266 DF PROTO=TCP SPT=36282 DPT=80 SEQ=689885856 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=46.105.111.141 DST=91.121.XXX.XXX LEN=52 TOS=00 PREC=0x00 TTL=124 ID=22030 DF PROTO=TCP SPT=56206 DPT=80 SEQ=1819161054 ACK=0 WINDOW=8192 SYN URGP=0 
 SRC=202.46.55.55 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=48240 CE DF PROTO=TCP SPT=34077 DPT=80 SEQ=1292434395 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=202.46.59.70 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=15520 DF PROTO=TCP SPT=24137 DPT=80 SEQ=103299231 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=119.63.193.194 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=46 ID=60771 CE DF PROTO=TCP SPT=3856 DPT=80 SEQ=2982022676 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=178.255.215.71 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=55 ID=46998 CE DF PROTO=TCP SPT=59845 DPT=80 SEQ=1371834071 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=202.46.63.78 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=27280 DF PROTO=TCP SPT=57950 DPT=80 SEQ=3608907257 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=199.30.16.12 DST=91.121.XXX.XXX LEN=48 TOS=02 PREC=0x00 TTL=111 ID=30998 DF PROTO=TCP SPT=53845 DPT=80 SEQ=2577308795 ACK=0 WINDOW=8192 SYN URGP=0 
 SRC=88.198.122.53 DST=91.121.XXX.XXX LEN=52 TOS=00 PREC=0x00 TTL=120 ID=30186 DF PROTO=TCP SPT=65364 DPT=80 SEQ=841626014 ACK=0 WINDOW=8192 SYN URGP=0 
 SRC=202.46.53.171 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=40 ID=64098 CE DF PROTO=TCP SPT=34769 DPT=80 SEQ=2617732904 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=87.229.103.235 DST=91.121.XXX.XXX LEN=48 TOS=00 PREC=0x00 TTL=117 ID=4255 DF PROTO=TCP SPT=4220 DPT=80 SEQ=390318359 ACK=0 WINDOW=65535 SYN URGP=0 
 SRC=82.192.90.142 DST=91.121.XXX.XXX LEN=52 TOS=00 PREC=0x00 TTL=121 ID=17642 DF PROTO=TCP SPT=64303 DPT=80 SEQ=824068879 ACK=0 WINDOW=8192 SYN URGP=0 
 SRC=202.46.60.99 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=40 ID=23041 DF PROTO=TCP SPT=60336 DPT=80 SEQ=1550782615 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=202.46.55.57 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=40 ID=17849 DF PROTO=TCP SPT=32758 DPT=80 SEQ=536773672 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=202.46.55.25 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=40 ID=28922 DF PROTO=TCP SPT=34939 DPT=80 SEQ=4160834594 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=66.249.73.220 DST=91.121.XXX.XXX LEN=52 TOS=00 PREC=0x00 TTL=44 ID=875 PROTO=TCP SPT=60347 DPT=80 SEQ=2355302673 ACK=0 WINDOW=62920 SYN URGP=0 
 SRC=199.30.16.16 DST=91.121.XXX.XXX LEN=48 TOS=02 PREC=0x00 TTL=113 ID=19492 DF PROTO=TCP SPT=52888 DPT=80 SEQ=4061937673 ACK=0 WINDOW=8192 SYN URGP=0 
 SRC=202.46.61.39 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=14437 DF PROTO=TCP SPT=61337 DPT=80 SEQ=2812738829 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=202.46.51.51 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=40 ID=2025 DF PROTO=TCP SPT=33474 DPT=80 SEQ=1953406559 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=202.46.62.133 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=17670 DF PROTO=TCP SPT=32892 DPT=80 SEQ=936424266 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=119.63.193.132 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=45 ID=6553 DF PROTO=TCP SPT=56578 DPT=80 SEQ=3807703127 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=80.82.222.172 DST=91.121.XXX.XXX LEN=48 TOS=00 PREC=0x00 TTL=122 ID=22562 DF PROTO=TCP SPT=62921 DPT=80 SEQ=2739657290 ACK=0 WINDOW=8192 SYN URGP=0 
 SRC=202.46.55.50 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=41 ID=13754 DF PROTO=TCP SPT=39868 DPT=80 SEQ=4157165095 ACK=0 WINDOW=5840 SYN URGP=0 
 SRC=192.108.116.16 DST=91.121.XXX.XXX LEN=60 TOS=00 PREC=0x00 TTL=51 ID=57588 CE DF PROTO=TCP SPT=5193 DPT=80 SEQ=746305020 ACK=0 WINDOW=14600 SYN URGP=0 
 SRC=207.182.155.78 DST=91.121.XXX.XXX LEN=48 TOS=00 PREC=0x00 TTL=119 ID=749 DF PROTO=TCP SPT=2191 DPT=80 SEQ=2807087662 ACK=0 WINDOW=64240 SYN URGP=0

Donc a mon avis c’est pas étonnant que des paquet soie rejeter , sans compter les client/navigateur web en devlppement qui doit avoir quelque rater :slightly_smiling: