Szia! Megfejtettem, hogy mi volt az a rengeteg üzenet. A DNS szerver próbált kommunikálni valami külső szerverrel. Amint elhangzottak a
$IPTABLES -A INPUT -p udp --sport 53 -j ACCEPT $IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT parancsok, egyből megszűnt a log áradat. Legalábbis a portokból erre következtetek, remélem nem lesz meglepetés. Köszi: Zs. előző levél: --- Sun, 10 Feb 2008 15:42:20 +0100 Gábor Lénárt Re: iptables ismerkedés --- > Hi, > > On Sat, Feb 09, 2008 at 12:22:05PM +0100, Gádori Zsolt wrote: > > Megfaragtam (?) életem első tűzfalát. Most az volna a kérésem, hogy > > akinek van kedve olvassa át a kódot. A végén lenne egy kérdésem, meg > > persze kíváncsi volnék minden szakmai tanácsra is. Próbáltam > > kommentezni hogy mi volt a szándékom egy adott paranccsal. > [...] > > A kérdés pedig a következő: > > Mi okozza a logban az alábbi bejegyzést? > > > > Feb 9 12:01:46 server kernel: tiltott protokoll be IN=ppp0 OUT= > > MAC= SRC=IPcím DST=IPcím LEN=142 TOS=0x00 PREC=0x00 TTL=123 > > ID=50676 PROTO=UDP SPT=18168 DPT=39872 LEN=122 > > Esetleg az, hogy az UDP ugyan nem kapcsolatorientalt, ennek ellenere a > netfilter nemi conntrack infot probal felepiteni a rendelkezesre allo > adatokbol (pl; cel/forras IP cel/forras port), itt meg ez esetleg egy > conntrack szempontjabol NEW allapotunak van minositve. A RELATED es > ESTABLISHED dolgokat beengeded, de a NEW-t nem, gondolom azert. > Esetleg a fenti szabaly ele: > > $IPTABLES -A INPUT -m state --state NEW -j LOG \ > --log-prefix "Uj allapotu kapcsolat " > $IPTABLES -A INPUT -m state --state INVALID -j LOG \ > --log-prefix "Invalidall apotu kapcsolat " > > (az INVALID is jol johet esetleg) > > Ugye, NEW allapotra nezel dolgot az eleje fele, csakhogy az mind > TCP-vel kapcsolatos dolog, de az UDP az meg nem TCP (sot az ICMP sem > pl ...). > _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
