Am Dienstag, 6. Dezember 2005 21:23 schrieb Matthias Keller:
kernel: SFW2-OUT-ERROR (...) ACK PSH FIN (...).
Dies scheint immer nur mit gültigen connections aufzutreten wie hier mit smtp und http und in allen beispielen die ich bisher sah war das FIN oder RST Flag gesetzt
Kann ich bestätigen: Diese Meldungen fallen mir auch immer wieder auf. Dein Rechner sendet zum Verbindungsaufbau ein ACK+FIN oder ein RST. Der entsprechende Server müßte darauf mit einem ACK antworten. Tut er das nicht wird IIRC das ACK+FIN bzw. RST nach einer gewissen Zeit erneut gesendet. Jetzt kommt das Connectiontracking mit seinen Timeouts ins Spiel: /usr/src/linux/net/ipv4/netfilter/ip_conntrack_proto_tcp.c Die ganzen States des Verbindungsabbaus haben einen Timeout von höchstens zwei Minuten. Meine Erklärung ist also, daß der Server nicht mit einem ACK antwortet und das erneute Senden von ACK+FIN bzw. RST erst nach einem Timeout des Connectiontrackings stattfindet. Mit diesen TCP-Grundlagen habe ich mich allerdings vor zweieinhalb Jahren das letzte Mal intensiv beschäftigt, es kann also gut sein, daß ich das nicht mehr so ganz korrekt in Erinnerung habe ...
(...). Zusatzfrage: Ist im SuSEfirewall eigentlich standardmässig ein spoofingschutz eingebaut welcher private IPs dropt die von extern kommen? Oder wenn nein, wie kann ich das aktivieren? Fand leider nichts dazu.
So auf Anhieb: Punkt 17.) und 17a.) in /etc/sysconfig/SuSEfirewall2 Gruß Jan -- The most useful program will be continually improved until it is useless.