Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

iptables (falsche?) INVALID Pakete

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
Der_Pit
Newbie
Newbie
Beiträge: 27
Registriert: 17. Mär 2005, 16:09
Wohnort: Utrecht
Kontaktdaten:

iptables (falsche?) INVALID Pakete

Beitrag von Der_Pit »

Hi Leuts,

Ich kämpfe gerade mit einem vertrackten Problem: Die Verbindung zu einem meiner Server bleibt manchmal 'hängen', also z.B. beim Transfer über ftp, beim Anzeigen von Fenstern via remote X (d.h. Anwendung läuft auf dem Server, Anzeige hier bei mir). Letzteres auch unabhängig davon ob die Verbindung über ssh getunnelt oder 'direkt' ist.
Ein Blick in die Logfiles auf dem Server zeigt mir dass da (anscheinend?) ungültige Pakete ankommen:

Code: Alles auswählen

Aug 18 17:47:47 host kernel: SFW2-INext-DROP-DEFLT-INV IN=eth0 OUT= MAC=00:30:48:2d:32:46:00:0e:83:23:1a:80:08:00 SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=128 TOS=0x00 PREC=0x00 TTL=62 ID=61784 DF PROTO=TCP SPT=6000 DPT=1719 WINDOW=63712 RES=0x00 ACK PSH URGP=0 OPT (0101080A27A00C8C9589A4CE0101050AA654826DA6556FFD)
Aug 18 17:59:18 host kernel: SFW2-INext-DROP-DEFLT-INV IN=eth0 OUT= MAC=00:30:48:2d:32:46:00:0e:83:23:1a:80:08:00 SRC=xxx.xxx.xxx.xxx DST=yyy.yyy.yyy.yyy LEN=64 TOS=0x00 PREC=0x00 TTL=62 ID=34346 DF PROTO=TCP SPT=41806 DPT=22 WINDOW=63712 RES=0x00 ACK URGP=0 OPT (0101080A27A11A72959494800101050AC5DA64D0C5DA6A78) 
Das passiert ausschliesslich zu diesem Server (jedenfalls ist es mir sonst noch nirgends aufgefallen). Kann man an diesen Logeinträgen sehen was genau da ungültig ist?
Der Server ist übrigens ein 64-bit Xeon, hat SuSE 9.2 x86_64 installiert und ich verwende die SuSE-Firewall Scripte.
Etwas ratlos,

Pit
Benutzeravatar
whois
Administrator
Administrator
Beiträge: 16636
Registriert: 11. Okt 2004, 08:50
Wohnort: Aachen
Kontaktdaten:

Beitrag von whois »

Hi

Sieh dir doch den Link an.
Ich hoffe der hilft dir.

IPTABLES
Der_Pit
Newbie
Newbie
Beiträge: 27
Registriert: 17. Mär 2005, 16:09
Wohnort: Utrecht
Kontaktdaten:

Beitrag von Der_Pit »

Nicht wirklich - trotzdem Danke.
Mit intensiverem Googeln hab ich dann diese Diskussion gefunden - es scheint eine Art 'Interessenskonflikt' zwischen Kernel und Netfilter zu sein, wenn ich das recht interpretiere. Das darin angeratene

Code: Alles auswählen

echo 1 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_be_liberal
scheint das Problem behoben zu haben - hab jedenfalls derzeit keine INVALID Pakete mehr...

Pit
Antworten