Re: lug-bg: ip_conntrack ???

[Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>]

linux@xxxxxxxxxxxxxxxx wrote:

> Имам Linux на който имам маскиране на адреси.
>
> От извесно време наблюдавам следното:
>
> cat /proc/net/ip_conntrack | grep UNREPLIED | wc -l
> 2532
>
> cat /proc/net/ip_conntrack | grep UNREPLIED | wc -l
> 3252
>
> какви са тези връзки който носят този флаг UNREPLIED
>
> t.e. редове от рода:
>
> udp      17 17 src=192.5.41.41 dst=192.168.4.253 sport=123 dport=123
> [UNREPLIED] src=192.168.4.253 dst=192.5.41.41 sport=123
> dport=123 use=1
> tcp      6 25 SYN_SENT src=192.168.50.5 dst=208.38.61.228 sport=59440
> dport=25 [UNREPLIED] src=208.38.61.228 dst=212.36.20.1
> 50 sport=25 dport=59440 use=1
>
>
>  
Това с UDP записа ме съмнява да е проблем (по-скоро имаш неизгладен NAT 
относно NTP). Но записа за TCP по-долу би ме накарал да проверя първо 
излъчвателя и второ TTL-а на пакетите. Не искам да се обзалагам, но това 
е пакет с голям TTL. Случайно да имаш при себе си TTL филтър, който да 
следва някъде политика DROP?
Прегледай пакетите на източника. Виж дали той не си играе нещо с TTL 
параметъра.
Също така, виж дали не използваш филтър за TCP сесии, който вместо да 
следва политика RESET, следва политика DROP. Честа грешка е да се 
направи NAT рутер и в/у него да се наблъскат един куп DROP политики по 
отношение на TCP сесии. При едно сканиране от страна на хост зад NAT към 
хост, който е някъде в Интернет, се получават точно едни такива хубави неща.
Няма да е зле да кажеш нещо за топологията. Особено за тази нейна част 
м/у рутера и 192.168.50.5. Иначе се сещам за още 2 причини, но наистина 
трябва да се покаже топологията..
 Поздрави
    Весо



============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================