間違った(間違った)パケットが記録され削除さiptablesれるようにいくつかのルールを設定しました。--state INVALIDパケットが無効であると考えられた理由を理解するためにログをどのように読み取ることができますか?たとえば、次のようになります。
11月29日 22:59:13 htpc ルーターカーネル: [6550193.790402] ::IPT::DROP:: IN=ppp0 OUT= MAC= SRC=31.13.72.7 DST=136.169.151.82 LEN=40 TOS TTL = 242 ID = 5104 DF PROTO = TCP SPT = 80 DPT = 61597 WINDOW = 0 RES = 0x00 ACK RST URGP = 0
ベストアンサー1
ステートフルパケットチェックを使用する場合、パケットのステータスはさまざまです。
- 新しい: パケットが既知のストリームまたはソケットに属しておらず、TCP フラグの SYN ビットがオンになっています。
- 確立された:パケットは追跡されたストリームまたはソケットと一致し、
CONNTRACKTCPフラグがあります。初期TCPハンドシェイクが完了した後にパケットが設定された状態になるには、SYNビットがオフになっている必要があります。 - 関連:パケットが既知のストリームまたはソケットと一致しないが、それを予測する既存のソケットがあるため、パケットが予想されます(たとえば、ポート21に既存のFTPセッションがあり、ポート20にUDPデータがある場合など)。 TCPポート5060の既存のSIP接続)。これには関連するALGが必要です。
- 無効:以前の状態のいずれも適用されない場合、パケットは状態にあります
INVALID。これは、さまざまな種類の目に見えないネットワークプローブが原因で発生したり、項目が不足していることを意味する可能性がありますCONNTRACK(ログにもこれらの項目を表示する必要があります)。または完全に陽性である可能性があります。
あなたの場合、参照するパケットはTCPフラグを示し、ACKソースRSTポートはです80。これは、Webサーバー31.13.72.7(Facebook)がリセットパケットを送信したことを意味します。以前のパケット(存在する場合)を見なければ、理由を知ることは完全に不可能です。ただし、コンピュータがリセットが無効であると考えるのと同じ理由でリセットを送信する可能性が高くなります。