Re: magyarorszag.hu belepes tuzfalon keresztul
Szabo Istvan wrote: > > Eddig felfogtam, bár már az is gyanús, ugyanis a kifelé menő 443-as TCP-t > egyébként engedem, szóval nem is kellene ilyesmit látnom - imho. Sok okbol lehet invalid, egyreszt valoban lehet invalid a csomag, elromolhatott natolas kozben is, de hibazhat a state matcher is. Dumpolni kellene mindket interface-en a forgalmat, aztan vegignezni az mindket tcp streamet, sequence numbereket, flagaket, jo jatek, ha nagyon unatkozol. -- Gabor HALASZ _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: magyarorszag.hu belepes tuzfalon keresztul
On Tue, 5 May 2009, Gabor HALASZ wrote: > > May 4 23:35:26 proxy kernel: Invalid packet: IN=eth1 OUT=ppp0 > > SRC=192.168.2.13 DST=84.206.104.73 LEN=40 TOS=0x00 PREC=0x00 TTL=127 > > ID=9191 DF PROTO=TCP SPT=1496 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0 > Mi koze van a t-nek ahhoz, hogy a kerneled invalid packetet allit elo? Valakire fogni kell ;-) Komolyra fordítva ugyanezzel a NAT+tűzfalszabályokkal másik hálózatból megy a fenti oldal, mig innen nem. > Kifele menne a csomag, te bontanal, de invalid lesz. Nem csak nat-nal Eddig felfogtam, bár már az is gyanús, ugyanis a kifelé menő 443-as TCP-t egyébként engedem, szóval nem is kellene ilyesmit látnom - imho. > fordul elo, nalam a lokalisan generealt csomagok kozott is van egy halom > ilyen. De nem hiszem, hogy ez lenne a gond, egyreszet ismetel, mert tcp, > legfeljebb nem latod, mert nem lesz invaid, a fin ack ugyis csak a tcp Igen, ez magyarázat lehet a "nem mindig dobálja" jelenségre. > session lebontasahoz kell, addigra a http forgalom mar atment, masik layer. Igen, ezt néztem én is, de ha a http átment, akkor a böngészőben már valami változásnak jelentkeznie kellene talán, de mégsincs változás. :-( > http://www.freesoft.org/CIE/Course/Section4/11.htm Köszönöm! Annyi érdekességet még hozzátennék, hogy bejelentkezéskor átdob https-re, amire nálam speciel panaszkodik, hogy hibás a tanusítványa. Ahol pedig a fenti hibás csomagokat generálja ott pedig el sem jut idáig, nem panaszkodik, Természetesen ellenőríztem nincs kézileg telepítve a böngészőben. -- (O__-- //\ / Varosi Csokonai Konyvtar // ) | Tel.: 59/503-152 V__/_szist...@tux.hu \ szist...@mail.vcsk.hu _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux
Re: magyarorszag.hu belepes tuzfalon keresztul
Szabo Istvan wrote: > > May 4 23:35:26 proxy kernel: Invalid packet: IN=eth1 OUT=ppp0 > SRC=192.168.2.13 DST=84.206.104.73 LEN=40 TOS=0x00 PREC=0x00 TTL=127 > ID=9191 DF PROTO=TCP SPT=1496 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0 > > > Gyanakszom a T cég ADSL-ére, Inviteltől is megy, létezhet ilyen? > Mi koze van a t-nek ahhoz, hogy a kerneled invalid packetet allit elo? Kifele menne a csomag, te bontanal, de invalid lesz. Nem csak nat-nal fordul elo, nalam a lokalisan generealt csomagok kozott is van egy halom ilyen. De nem hiszem, hogy ez lenne a gond, egyreszet ismetel, mert tcp, legfeljebb nem latod, mert nem lesz invaid, a fin ack ugyis csak a tcp session lebontasahoz kell, addigra a http forgalom mar atment, masik layer. TCP ATCP B 1. ESTABLISHED ESTABLISHED 2. (Close) FIN-WAIT-1 --> --> CLOSE-WAIT 3. FIN-WAIT-2 <-- <-- CLOSE-WAIT 4. (Close) TIME-WAIT <-- <-- LAST-ACK 5. TIME-WAIT --> --> CLOSED 6. (2 MSL) CLOSED http://www.freesoft.org/CIE/Course/Section4/11.htm -- Gabor HALASZ _ linux lista - linux@mlf.linux.rulez.org http://mlf2.linux.rulez.org/mailman/listinfo/linux