Здравствуйте.
Дистрибутив Fedora 16 (russian remix), iptables установлены из дистрибутива
На ПЭВМ имеются адаптеры eth1 (смотрит в локалку), eth0 (IP-адрес 192.168.1.1, подключен к ADSL-модему, модем подключен к интернету). Все пользователи локальной сети ходят в интернет через прокси-сервер Squid.
Периодически в «/var/log/messages» появляются следующие строки:
Apr 20 13:05:50 kernel: [249988.812792] IPT LOGDROP packet died: IN= OUT=eth0 SRC=192.168.1.1 DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=58776 DF PROTO=TCP SPT=44494 DPT=80 WINDOW=980 RES=0x00 ACK FIN URGP=0
Apr 20 13:05:50 kernel: [249989.065047] IPT LOGDROP packet died: IN= OUT=eth0 SRC=192.168.1.1 DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=58777 DF PROTO=TCP SPT=44494 DPT=80 WINDOW=980 RES=0x00 ACK PSH FIN URGP=0
Apr 20 13:05:50 kernel: [249989.572041] IPT LOGDROP packet died: IN= OUT=eth0 SRC=192.168.1.1 DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=58778 DF PROTO=TCP SPT=44494 DPT=80 WINDOW=980 RES=0x00 ACK PSH FIN URGP=0
Не могу понять: почему рубятся пакеты завершения соединения? Ведь, по логике, они должны рассматриваться как пакеты ESTABLISHED?
Вот кусок правил, относящихся к TCP-протоколу:
########################################
#адаптер, подключенный к ADSL-модему
INET_IFACE="eth0"
# адаптер, подключенный к локальной сети
LAN_IFACE="eth1"
# LOOPBACK
LO_IFACE="lo"
#IP-адрес адаптера, подключенного к ADSL-модему
INET_IP=”192.168.1.1”
IPTABLES="/sbin/iptables"
# set default policies
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# Create chain for packets to be logged and than dropped
$IPTABLES -N logdrop
$IPTABLES -A logdrop -j LOG -m limit --limit 3/minute --limit-burst 3 --log-level 7 --log-prefix "IPT LOGDROP packet died: "
$IPTABLES -A logdrop -j DROP
iptables -N bad_tcp_packets
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level 7 --log-prefix "New packet without syn:"
iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
$IPTABLES -N tcp_packets_in
$IPTABLES -N tcp_packets_out
#
# TCP rules
#
# allow incoming to $LAN_IFACE requests from LAN,
# allow incoming replies from anywhere (from LAN and Internet)
$IPTABLES -A tcp_packets_in -p TCP -i $INET_IFACE -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A tcp_packets_in -p TCP -i $LAN_IFACE -s $LAN_IP_RANGE -d $LAN_IP -m multiport --dports $SQUIDPORT,$SSHPORT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A tcp_packets_in -j logdrop
# allow outgoing requests to anywhere
# allow outgoing replies from squid to LAN users only
$IPTABLES -A tcp_packets_out -p TCP -o $INET_IFACE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A tcp_packets_out -p TCP -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A tcp_packets_out -j logdrop
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -j tcp_packets_in
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level 7 --log-prefix "IPT INPUT packet died: "
$IPTABLES -A OUTPUT -p ALL -o $LO_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p TCP -j tcp_packets_out
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level 7 --log-prefix "IPT OUTPUT packet died: "
########################################
P.S. Эти пакеты почему-то часто появляются, если я захожу на kp.ru или aif.ru.
Подскажите, пожалуйста, где я мог ошибиться?