iptables conntrack Problem (War: Webserver Kräscht)

Frank Matthiess frankm at lug-owl.de
Mo Apr 9 19:44:31 CEST 2007 

* Support TEAM, Martin Bökenkamp <connectnet at web.de> [2007-04-09 10:36]:
> >>> Anmerkung: Warum vertraust Du einem Firewallscript das Du nicht
> >>> ansatzweise verstehst?
> >>
> >>Das ist eine sehr gute Frage!
> 
> Ich Frage mich gerade, wie ihr zu dieser Frage kommt... War meine Frage  
> denn so blöd gestellt? ;-)

Nein. Aber Du hast meine Frage nicht verstanden.
Wenn Du die Firewall aus Sicherheitsgründen nutzt, dann solltest Du auch
erklären können welche Auswirkungen die Regeln der Firewall haben. Wenn
nicht kannst Du nicht behaupten ein ansatzweise sicheres System zu
haben. Du kannst noch nichmal bewerten ob das Script von der Webseite
ohne Fehler generiert wurde. Bist Du nun sichermn mit dem Regelsatz oder
nicht?

Ich denke jetzt verstehst Du meine Frage.

> Portsentry habe ich nach diesem Maunual installiert:  
> http://www.rob-schulze.de/informatik/tutorials/portsentry/
> Der Fehler, der den Server "kräschen" ließ, liegt m.E. darin, dass ich im  
> Filtermanager von Portsentry den "Block_timeout" für ein "$IPTABLES_CMD -D  
> INPUT -s $Target -j DROP" zu hoch eingestellt hatte (100 Minuten). Somit  
> haben sich zu viele Einträge angesammelt und den Speicher überflutet. 10  
> Minuten blocken dürften genügen.

Ich verstehe hier nur Bahnhof. Das kommt mir so vor wie der Schwank mit
"Die Kuh Elsa ist tot". Mit jedem Postiong kommen immer weiter Details
die vorher nicht benannt waren in Spiel. So kann ich Dir nicht helfen.

Ich versuch trotzdem.

Ich denke Portsentry legt mit einem Script iptables Regeln dynamisch an.
Wenn es sich um -j Dop Regeln handelt, dann kann damit nicht der
contrack überlaufen, wenigsten würde mich sehr wundern.

Kannst Du der vollständigkeithalber mal die Ausgabe von "iptables-save"
von Deiner aktiven Firewall posten?

Frank.
-- 
Frank Matthieß

"...die üblichen three letter Organisationen: NSA, CIA, SAP und CCC....."
 -- Rüdiger Weis, 21C3
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : nicht verfügbar
Dateityp    : application/pgp-signature
Dateigröße  : 189 bytes
Beschreibung: Digital signature
URL         : http://lug-owl.de/pipermail/lugrav/attachments/20070409/7538ce73/attachment.pgp