logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 14-08-2022 22:43:27

frlevel
Membre
Distrib. : Debian 11
Noyau : Linux 5.10.0-13-amd64
Inscription : 14-08-2022

Iptables - Incohérences apparentes dans les logs

Bonjour,

Je suis en train de déployer un hyperviseur Proxmox avec :
- 1 firewall
- 1 reverse proxy Apache
- 1 serveur Web
- 1 serveur BDD

Ces serveurs sont dans des réseaux séparés.

Lorsque j'appelle un site web, j'ai ceci dans mes logs :

Aug 14 23:29:26 vm-inf-fw01 kernel: [ 6892.075622] RULE 10 -- ACCEPT IN=ens20 OUT=ens21 MAC=e6:d1:9a:56:33:e3:aa:97:80:d1:c3:bb:08:00 SRC=10.10.10.10 DST=10.10.20.11 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=53284 DF PROTO=TCP SPT=36874 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 14 23:29:26 vm-inf-fw01 kernel: [ 6892.280756] RULE 13 -- DENY IN=ens20 OUT=ens21 MAC=e6:d1:9a:56:33:e3:aa:97:80:d1:c3:bb:08:00 SRC=10.10.10.10 DST=10.10.20.11 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=27179 DF PROTO=TCP SPT=36872 DPT=80 WINDOW=501 RES=0x00 ACK FIN URGP=0
Aug 14 23:29:26 vm-inf-fw01 kernel: [ 6892.488649] RULE 13 -- DENY IN=ens20 OUT=ens21 MAC=e6:d1:9a:56:33:e3:aa:97:80:d1:c3:bb:08:00 SRC=10.10.10.10 DST=10.10.20.11 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=27180 DF PROTO=TCP SPT=36872 DPT=80 WINDOW=501 RES=0x00 ACK FIN URGP=0
Aug 14 23:29:27 vm-inf-fw01 kernel: [ 6892.667628] RULE 13 -- DENY IN=ens20 OUT=ens21 MAC=e6:d1:9a:56:33:e3:aa:97:80:d1:c3:bb:08:00 SRC=10.10.10.10 DST=10.10.20.11 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=648 DF PROTO=TCP SPT=36850 DPT=80 WINDOW=501 RES=0x00 ACK FIN URGP=0


Ma règle 10 est bien celle qui autorise le flux tcp/80 entre le RP 10.10.10.10  et le serveur web 10.10.20.11

   echo "Rule 10 (global)"
    #
    $IPTABLES -N RULE_10
    $IPTABLES -A INPUT -p tcp -m tcp  -m multiport  -s 10.10.10.10   -d 10.10.20.0/24   --dports 80,443  -m state --state NEW  -j RULE_10
    $IPTABLES -A FORWARD -p tcp -m tcp  -m multiport  -s 10.10.10.10   -d 10.10.20.0/24   --dports 80,443  -m state --state NEW  -j RULE_10
    $IPTABLES -A RULE_10  -j LOG  --log-level info --log-prefix "RULE 10 -- ACCEPT "
    $IPTABLES -A RULE_10  -j ACCEPT


L'ACCEPT est donc normal.
En revanche, je ne m'explique pas les DENY qui viennent de ma règle 13 puisque la source, la destiunation et le port sont les mêmes.
    echo "Rule 13 (global)"
    #
    $IPTABLES -N RULE_13
    $IPTABLES -A OUTPUT  -j RULE_13
    $IPTABLES -A INPUT  -j RULE_13
    $IPTABLES -A FORWARD  -j RULE_13
    $IPTABLES -A RULE_13  -j LOG  --log-level info --log-prefix "RULE 13 -- DENY "
    $IPTABLES -A RULE_13  -j DROP


Je pense que ce problème génère une lenteur de mon site web.

Merci de votre aide.
François

Hors ligne

#2 14-08-2022 23:10:06

raleur
Membre
Inscription : 03-10-2014

Re : Iptables - Incohérences apparentes dans les logs

frlevel a écrit :

je ne m'explique pas les DENY qui viennent de ma règle 13 puisque la source, la destiunation et le port sont les mêmes.


Et l'état ? Un paquet FIN ne peut pas être classé dans l'état NEW.


Il vaut mieux montrer que raconter.

Hors ligne

#3 15-08-2022 17:30:33

frlevel
Membre
Distrib. : Debian 11
Noyau : Linux 5.10.0-13-amd64
Inscription : 14-08-2022

Re : Iptables - Incohérences apparentes dans les logs

Bonjour Raleur,

Merci de ce retour.
C'est exact, mais je ne m'explique pas ce qui génère ces trames.
Est-ce que cela pourrait venir de mon reverse proxy ?
J'avoue être dans le flou complet.

Hors ligne

#4 15-08-2022 19:59:08

raleur
Membre
Inscription : 03-10-2014

Re : Iptables - Incohérences apparentes dans les logs

Les paquets FIN sont émis par la couche TCP des deux extrémités d'une connexion TCP lors de la clôture de celle-ci. Il peut arriver qu'un des paquets ou sa retransmission arrive trop tard et soit classé dans l'état INVALID par le suivi de connexion de netfilter qui a déjà oublié la connexion.

Il vaut mieux montrer que raconter.

Hors ligne

#5 15-08-2022 20:44:54

frlevel
Membre
Distrib. : Debian 11
Noyau : Linux 5.10.0-13-amd64
Inscription : 14-08-2022

Re : Iptables - Incohérences apparentes dans les logs

Merci, mais ce qui me paraît embêtant dans mon cas, c'est que c'est systématique.
Je vais continuer à creuser.

Hors ligne

Pied de page des forums