Ipstate m'affiche des connexions qui ne sont plus

Support Debian
#1

Salut,

Voyez vous une raison à cela ?

Ces ip sont bloqués, soit par fail2ban soit par ModSecurity et pourtant iptstate me les affiches comme actives.

[quote]Aug 13 00:10:32 DOMAINE sshd[1278]: Did not receive identification string from 181.6.224.139

[Wed Aug 14 16:06:07 2013] [error] [client 65.55.52.111] ModSecurity: Access denied with code 403 (phase 2). Match of "rx …

Aug 15 20:20:10 DOMAINE sshd[9751]: warning: /etc/hosts.allow, line 14: host name/address mismatch: 221.143.48.185 != 221-143-48-185.tongkni.co.kr
Aug 15 20:20:10 DOMAINE sshd[9751]: Did not receive identification string from 221.143.48.185

[/quote]


Connexions Internet actives (serveurs et établies) Proto Recv-Q Send-Q Adresse locale Adresse distante Etat User Inode PID/Program name tcp 0 0 DOMAINE.com:domain *:* LISTEN bind 97929198 21760/named tcp 0 0 *:munin *:* LISTEN root 10582 2792/munin-node tcp 0 0 localhost.locald:domain *:* LISTEN root 4509 1747/pdnsd tcp 0 0 *:ssh *:* LISTEN root 77366304 19760/sshd tcp 0 0 *:3000 *:* LISTEN root 42848971 15549/ntop tcp 0 0 localhost.localdoma:953 *:* LISTEN bind 97929201 21760/named tcp 0 48 DOMAINE.com:ssh xxx.xxx.xxx.xxx-:43194 ESTABLISHED root 112988580 17429/sshd: USER tcp6 0 0 [::]:domain [::]:* LISTEN bind 97929192 21760/named tcp6 0 0 [::]:ssh [::]:* LISTEN root 77366306 19760/sshd tcp6 0 0 ip6-localhost:953 [::]:* LISTEN bind 97929202 21760/named udp 0 0 DOMAINE.com:domain *:* bind 97929197 21760/named udp 0 0 localhost.locald:domain *:* root 4510 1747/pdnsd udp 0 0 DOMAINE.com:ntp *:* root 8069 2596/ntpd udp 0 0 localhost.localdoma:ntp *:* root 8068 2596/ntpd udp 0 0 *:ntp *:* root 8061 2596/ntpd udp 0 0 localhost.localdoma:921 *:* root 97929247 21787/lwresd udp6 0 0 [::]:domain [::]:* bind 97929191 21760/named udp6 0 0 fe80::222:4dff:fe7a:ntp [::]:* root 8072 2596/ntpd udp6 0 0 ip6-localhost:ntp [::]:* root 8071 2596/ntpd udp6 0 0 2001:41d0:8:7825::1:ntp [::]:* root 8070 2596/ntpd udp6 0 0 [::]:ntp [::]:* root 8062 2596/ntpd
ps:

~ # uptime 11:05:32 up 134 days, 15:56, 1 user, load average: 0.18, 0.10, 0.05

#2

L’état d’une connexion, c’est très subjectif. Il y a l’état vu par la pile TCP/IP de chaque extrémité (affiché par netstat), l’état vu par le suivi de connexion de netfilter (affiché par iptstate). Les trois peuvent être différents car ils n’ont qu’une vue partielle de l’ensemble.

Ici, la connexion en surbrillance semble bien active dans netstat. Quant aux autres, je pense qu’elles sont le résultat du filtrage appliqué en cours de connexion : il n’efface pas l’état de la connexion vu par netfilter, il la laisse juste pourrir jusqu’à ce qu’elle expire.

#3

[quote=“PascalHambourg”]L’état d’une connexion, c’est très subjectif. Il y a l’état vu par la pile TCP/IP de chaque extrémité (affiché par netstat), l’état vu par le suivi de connexion de netfilter (affiché par iptstate). Les trois peuvent être différents car ils n’ont qu’une vue partielle de l’ensemble.

Ici, la connexion en surbrillance semble bien active dans netstat. Quant aux autres, je pense qu’elles sont le résultat du filtrage appliqué en cours de connexion : il n’efface pas l’état de la connexion vu par netfilter, il la laisse juste pourrir jusqu’à ce qu’elle expire.[/quote]

J’ai oublié de préciser que j’avais une connexion ssh en cours.

Tu précises que ce n’est là que le résultat d’une vue partielle par l’un ou l’autre, dans quel cas, peut-on avoir une aperçue complète ? (si je puis dire)

ps: un reboot, suite à la migration de Squeeze vers Wheezy, ces dernières ont disparu.

Merci Pascal !