https://www.opennet.ru/openforum/vsluhforumID10/5033.html Здравствуйте.<br>Дистрибутив Fedora 16 (russian remix), iptables установлены из дистрибутива<br>На ПЭВМ имеются адаптеры eth1 (смотрит в локалку), eth0 (IP-адрес 192.168.1.1, подключен к ADSL-модему, модем подключен к интернету). <br><br>Все пользователи локальной сети ходят в интернет через прокси-сервер Squid.<br><br>Периодически в &#171;/var/log/messages&#187; появляются следующие строки:<br><br>Apr 20 13:05:50 kernel: [249988.812792] IPT LOGDROP packet died: IN= OUT=eth0 SRC=192.168.1.1 DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=58776 DF PROTO=TCP SPT=44494 DPT=80 WINDOW=980 RES=0x00 ACK FIN URGP=0 <br>Apr 20 13:05:50 kernel: [249989.065047] IPT LOGDROP packet died: IN= OUT=eth0 SRC=192.168.1.1 DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=58777 DF PROTO=TCP SPT=44494 DPT=80 WINDOW=980 RES=0x00 ACK PSH FIN URGP=0 <br>Apr 20 13:05:50 kernel: [249989.572041] IPT LOGDROP packet died: IN= OUT=eth0 SRC=192.168.1.1 DST=XXX.XXX.XXX.XXX LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=58778 DF PROTO=TCP SPT=44494 DPT=80 https://www.opennet.ru/openforum/vsluhforumID10/5033.html#7 Tue, 01 May 2012 11:23:02 GMT &gt;&gt;&gt;&gt; Подскажите, пожалуйста, где я мог ошибиться?<br>&gt;&gt;&gt; Перед протоколированием попробовать добавить: <br>&gt;&gt;&gt; ... -m state --state INVALID -j DROP <br>&gt;&gt; эти пакеты не попадают под статус ESTABLISHED и для них лучше проверить <br>&gt;&gt; флаги и сделать REJECT <br>&gt; Reader, поясните, пожалуйста: почему не попадают под статус ESTABLISHED? Ведь пакеты до <br>&gt; этого система "видела" в обоих направлениях.<br>&gt; Какем флаги надо прверить и почему сделать REJECT? Ведь это же легальные <br>&gt; пакеты, завершающие соединение с сервером.<br><br>почему статус стал не ESTABLISHED из приведенного не видно, если интересно разобраться запустите tcpdump при этом лучше чтобы были видны пакеты на обоих интерфейсах и с учетом таймаутов как показал Андрей. Как уже сказали эти пакеты уже со статусом INVALID, но если их просто дропнуть, то вы будите получать повторы , как и видите в логах (2 и 3 строки в вашем примере), поэтому лучше REJECT, и клиенту легче жить будет<br><br>про флаги это уже философия и соответственно кому как нравится, у вас есть с ACK FIN и https://www.opennet.ru/openforum/vsluhforumID10/5033.html#6 Tue, 01 May 2012 06:57:10 GMT &gt;&gt;&gt;&gt; Подскажите, пожалуйста, где я мог ошибиться?<br>&gt;&gt;&gt; Перед протоколированием попробовать добавить: <br>&gt;&gt;&gt; ... -m state --state INVALID -j DROP <br>&gt;&gt; эти пакеты не попадают под статус ESTABLISHED и для них лучше проверить <br>&gt;&gt; флаги и сделать REJECT <br>&gt; Reader, поясните, пожалуйста: почему не попадают под статус ESTABLISHED? Ведь пакеты до <br>&gt; этого система "видела" в обоих направлениях.<br><br>Патамучта коннект заэкспаирился, выкинулся из коннтрака, а "ACK FIN" пришёл уже после этого. См.:<br><br>$ grep . /proc/sys/net/netfilter/*conntr*tcp*time*<br>/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_close:10<br>/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_close_wait:60<br>/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_established:432000<br>/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_fin_wait:120<br>/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_last_ack:30<br>/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_max_retrans:300<br>/proc/sys/net/netfilter/nf_conntrack_tcp_timeout_syn_recv:60<br>/proc/sys/net/netfilter/nf_conntra https://www.opennet.ru/openforum/vsluhforumID10/5033.html#5 Mon, 30 Apr 2012 17:40:26 GMT &gt;&gt;&gt; Подскажите, пожалуйста, где я мог ошибиться?<br>&gt;&gt; Перед протоколированием попробовать добавить: <br>&gt;&gt; ... -m state --state INVALID -j DROP <br>&gt; Прежде, чем просто дропать, хотелось бы разобраться, почему вс-таки эти пакеты появляются <br>&gt; в логах <br><br>У меня такое было из-за дубликатов пакетов, правда пакеты были входящими, а не исходящими. Появлялись они по причине очень узкого (128 kbit/s) и забитого (25 человек хотели всё и сразу) канала.<br> https://www.opennet.ru/openforum/vsluhforumID10/5033.html#4 Mon, 30 Apr 2012 14:52:14 GMT &gt;&gt; Подскажите, пожалуйста, где я мог ошибиться?<br>&gt; Перед протоколированием попробовать добавить: <br>&gt; ... -m state --state INVALID -j DROP <br><br>Прежде, чем просто дропать, хотелось бы разобраться, почему вс-таки эти пакеты появляются в логах<br> https://www.opennet.ru/openforum/vsluhforumID10/5033.html#3 Mon, 30 Apr 2012 14:50:11 GMT &gt;&gt;&gt; Подскажите, пожалуйста, где я мог ошибиться?<br>&gt;&gt; Перед протоколированием попробовать добавить: <br>&gt;&gt; ... -m state --state INVALID -j DROP <br>&gt; эти пакеты не попадают под статус ESTABLISHED и для них лучше проверить <br>&gt; флаги и сделать REJECT <br><br>Reader, поясните, пожалуйста: почему не попадают под статус ESTABLISHED? Ведь пакеты до этого система "видела" в обоих направлениях.<br>Какем флаги надо прверить и почему сделать REJECT? Ведь это же легальные пакеты, завершающие соединение с сервером.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5033.html#2 Mon, 30 Apr 2012 07:14:25 GMT &gt;&gt; Подскажите, пожалуйста, где я мог ошибиться?<br>&gt; Перед протоколированием попробовать добавить: <br>&gt; ... -m state --state INVALID -j DROP <br><br>эти пакеты не попадают под статус ESTABLISHED и для них лучше проверить флаги и сделать REJECT<br> https://www.opennet.ru/openforum/vsluhforumID10/5033.html#1 Sun, 29 Apr 2012 23:40:37 GMT &gt; Подскажите, пожалуйста, где я мог ошибиться?<br><br>Перед протоколированием попробовать добавить:<br>... -m state --state INVALID -j DROP<br>