これらの接続がconntrackで「設定済み」に分類されないのはなぜですか?

これらの接続がconntrackで「設定済み」に分類されないのはなぜですか?

次の規則がありますiptables

-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

これにより、確立されたものとして分類されていない発信接続が記録されます。ファイアウォールの送信ログが次のパケットをキャプチャすることがあります。

09:56:48 DST=a.b.167.208 TTL=64 SPT=80 DPT=25960 WINDOW=119 ACK URGP=0
09:48:48 DST=a.b.166.231 TTL=64 SPT=80 DPT=29861 WINDOW=119 ACK PSH URGP=0
09:29:57 DST=a.b.167.244 TTL=64 SPT=80 DPT=58244 WINDOW=119 ACK URGP=0

さらなる調査の結果、ウェブサーバアクセスログは、上記のIPアドレス75-100に対応する以前の着信接続を有していたことを示した。

上記の接続がconntrackモジュールによって確立されたものに分類されないのはなぜですか?ノイズをどのようにフィルタリングできますか?

答え1

私の理解によると、TCP接続はESTABLISHED状態にのみ入ります。後ろにすでにACK完了しました。これらのACKパッケージはまさにあなたがそこに記録(そしてブロック)したものです。

http://www.iptables.info/en/connection-state.html#TCPCONNECTIONS

試してみました--ctstate ESTABLISHED,RELATEDか?

述べたように、「非定期的な」ロギングに関連して、dmesg / syslogはすべてのパケットをキャプチャしません。同様のメッセージが多すぎる場合は、ログのフラッディングを防ぐためにそのメッセージが削除されます。これは設定可能ですが、この質問の範囲外です。

関連情報