Am Freitag, 29. Oktober 2004 16:14 schrieb Björn Schmidt: > Matthias Houdek wrote: > >>Mit Kommentarzeichen bekomme ich (das Paket wird verworfen da kein > >>match): > >> > >>Oct 29 13:51:05 skyron ILLEGAL_PACKET IN= OUT=eth0 MAC= > >> SRC=192.168.1.1 DST=192.168.1.2 LEN=60 TOS=00 PREC=0x00 TTL=64 ID=0 > >> DF PROTO=TCP SPT=22 DPT=33085 SEQ=1048000056 ACK=1050690244 > >> WINDOW=5792 ACK SYN URGP=0 > > > > ^^^^^^^^^^^^^^ ^^^^ > > Das ACK-Bit (Bestätigung) und die ACK-ID sind gesetzt, damit ist kein > > Verbindungsaufbau-Paket mehr (--state=NEW), sondern ein Paket einer > > etablierten TCP-Verbindung (--state=ESTABLISHED). > > Nein, die Verbindung gilt erst dann als aufgebaut wenn nach dem > Versenden von SYN,ACK ein ACK zurückgekommen ist. Da das SYN,ACK nicht > durchkommt, kann auch kein ACK zurückkommen...
Hier irrt der Björn (evtl.) Das erste TCP-Paket hat noch kein ACK (woher auch, welches SYN sollte denn da incrementiert werden) - und das wird mit dem --state=NEW erfasst. Alle anderen Pakete laufen für IPTables bereits als ESTABLISHED, auch wenn die eigentliche TCP-Verbindung erst nach abgeschlossenem Hin-Her-Hin endgültig etabliert ist. > Damit Du Dich nicht ärgerst habe ich mal eben umgestellt auf > "--state NEW,ESTABLISHED,RELATED". Ohne Erfolg. Und welche Regel blockt es (du kannst ja bei den Regeln mit entsprechenden Kommentaren Loggen)? > >>Die Frage ist also, warum kann ich mit IPsec nicht ohne weiteres auf > >>"--state NEW" prüfen. > > > > Was hat IPSec damit zu tun? > > Das ist Teil der Problembeschreibung. Wenn Du mir diese Frage > beantworten kannst, wäre ich sicher einen Schritt weiter. Bin ich dazu da deine Hausaufgaben zu machen? ;-) -- Gruß MaxX Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter nach /dev/null).