Am Donnerstag, 20. Januar 2005 21:37 schrieb ich:
Am Freitag, 14. Januar 2005 18:40 schrieb Al Bogner: (...).
Was bedeutet "SFW2-OUT-ERROR IN"?
Gute Frage! In "iptables -L" kommt diese Meldung nur in der letzten Regel der OUTPUT chain vor: Chain OUTPUT (policy DROP) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 (...). LOG all -- 0.0.0.0/0 0.0.0.0/0 limit: avg 3/min burst 5 LOG flags 6 level 4 prefix `SFW2-OUT-ERROR '
Die erste Regel sollte aber doch eigentlich immer greifen? Dann frage ich mich, wie die letzte Regel überhaupt jemals erreicht werden kann.
Oje! Das sollte ich besser iptables fragen, aber diesmal richtig: # iptables -vnL OUTPUT Chain OUTPUT (policy DROP n packets, mY bytes) pkts bytes target prot opt in out source destination xxxY xxxY ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0 (...). xxxY xxxY ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state NEW,RELATED,ESTABLISHED xxxY xxxY LOG all -- * * 0.0.0.0/0 0.0.0.0/0 Ich hatte mich schon gewundert warum nirgendwo ein Interface angegeben war.
(...). Solche Meldungen finde ich auch für verschiedene Zieladressen, allerdings recht selten. Aber immer "ACK FIN" oder "ACK PSH FIN".
Wahrscheinlich Verbindungen, die aus dem Connection-Tracking schon rausgeflogen sind und "ACK FIN" zählt kaum als NEW ... MfG, Jan -- Never underestimate the power of human stupidity.