R: Traceroute e iptables

> Secondo iptables i pacchetti di risposta al traceroute sono invalidi,
> matchanno infatti per -m state --state INVALID, perchè?
>
non e' che letteralmente "non sono validi",  ma "non associati ad una
connessione precedentemente stabilita" oppure "associati a una connessione
sconosciuta" (al filetr).
Quindi puo' darsi il caso che venga persa qualche connessione e di
conseguenza il kernel non e' in grado di capire la funzione dei  pacchetti
in arrivo.
La perdita di questi pacchetti puo' ragionevolmente essere dipesa da:
- raggiungimento del timeout di mantenimento nella RAM delle connessioni da
tracciare (le impostazioni delle durate dei timeout sono in
/proc/sys/net/ipv4/)
 oppure, se il firewall deve gestire molto traffico,
- poco spazio riservato in RAM al buffer che mantiene le connessione da
tracciare (/proc/net/ip_conntrack). Questo puoi vederlo con
 cat /proc/sys/net/ipv4/ip_conntrack_max (risultato in byte) e magari
ampliarlo con
 echo valore_in_byte > /proc/sys/net/ipv4/ip_conntrack_max (per default
vengono allocati 8192 byte con sistemi da 128 MB RAM)
Puoi inoltre debuggare con alcune prove:
* aprendo il file /proc/net/ip_conntrack e cercare come sono listati i
pacchetti incriminati (penso UNREPLIED) parallelamente a tcpdump per capire
se esistono problemi sulle header IP
* provare a usare -m state --ctstate

Antonio


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List