[fli4l] Verständnisfrage ?==?utf-8?Q?zu ungültigen Paketen

Martin Dresbach martin.dresbach at arcor.de
So Jan 15 17:19:28 CET 2017


Hallo zusammen!

Da ich momentan einige Änderungen an meiner Config vollziehe und diese
ausgiebig teste, sind mir im Syslog sehr viele Einträge aufgefallen,
die ich mir nicht so ganz erklären kann.

Generiert werden die Einträge von der Regel PF_FORWARD_x='state:INVALID
DROP' (Teil der Default-Forward-Regeln). Festgestellt habe ich es
dadurch, dass ich dieser Regel ein Log-Präfix verpasst hatte. Zu nahezu
100% gehen diese geblockten Pakete entweder an die Zielports 80 oder 443
unterschiedlichster Empfänger. Ebenfalls kommen derartige Pakete von
allen möglichen Clients in meinem Netz, also nicht immer nur von einem
Client.

Hier ist ein beispielhafter Syslog-Eintrag eines solchen Paketes:
fw-forward-drop IN=br0 OUT=ppp0
MAC=00:0b:6b:22:59:29:00:22:15:9e:de:14:08:00 SRC=192.168.1.3
DST=80.237.133.40 LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=2720 DF PROTO=TCP
SPT=53443 DPT=80 WINDOW=0 RES=0x00 ACK RST URGP=0

Alle Einträge sehen identisch aus, abgesehen von wechselnden Absender-
und Empfängeradressen, bzw. abweichenden Zielports (also entweder 80
oder 443).

Ich verstehe leider nicht so ganz, was diese Pakete als "INVALID"
qualifiziert, möchte aber auch nicht einfach die Regel rauswerfen.
Hoffentlich kann hier jemand etwas Licht in die Sache bringen.

Vielen Dank und liebe Grüße,
Martin


Mehr Informationen über die Mailingliste Fli4L