Iptables - Incohérences apparentes dans les logs

frlevel · 14-08-2022 22:43:27

Bonjour,

Je suis en train de déployer un hyperviseur Proxmox avec :
- 1 firewall
- 1 reverse proxy Apache
- 1 serveur Web
- 1 serveur BDD

Ces serveurs sont dans des réseaux séparés.

Lorsque j'appelle un site web, j'ai ceci dans mes logs :

Aug 14 23:29:26 vm-inf-fw01 kernel: [ 6892.075622] RULE 10 -- ACCEPT IN=ens20 OUT=ens21 MAC=e6:d1:9a:56:33:e3:aa:97:80:d1:c3:bb:08:00 SRC=10.10.10.10 DST=10.10.20.11 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=53284 DF PROTO=TCP SPT=36874 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0
Aug 14 23:29:26 vm-inf-fw01 kernel: [ 6892.280756] RULE 13 -- DENY IN=ens20 OUT=ens21 MAC=e6:d1:9a:56:33:e3:aa:97:80:d1:c3:bb:08:00 SRC=10.10.10.10 DST=10.10.20.11 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=27179 DF PROTO=TCP SPT=36872 DPT=80 WINDOW=501 RES=0x00 ACK FIN URGP=0
Aug 14 23:29:26 vm-inf-fw01 kernel: [ 6892.488649] RULE 13 -- DENY IN=ens20 OUT=ens21 MAC=e6:d1:9a:56:33:e3:aa:97:80:d1:c3:bb:08:00 SRC=10.10.10.10 DST=10.10.20.11 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=27180 DF PROTO=TCP SPT=36872 DPT=80 WINDOW=501 RES=0x00 ACK FIN URGP=0
Aug 14 23:29:27 vm-inf-fw01 kernel: [ 6892.667628] RULE 13 -- DENY IN=ens20 OUT=ens21 MAC=e6:d1:9a:56:33:e3:aa:97:80:d1:c3:bb:08:00 SRC=10.10.10.10 DST=10.10.20.11 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=648 DF PROTO=TCP SPT=36850 DPT=80 WINDOW=501 RES=0x00 ACK FIN URGP=0

Ma règle 10 est bien celle qui autorise le flux tcp/80 entre le RP 10.10.10.10 et le serveur web 10.10.20.11

echo "Rule 10 (global)"
#
$IPTABLES -N RULE_10
$IPTABLES -A INPUT -p tcp -m tcp -m multiport -s 10.10.10.10 -d 10.10.20.0/24 --dports 80,443 -m state --state NEW -j RULE_10
$IPTABLES -A FORWARD -p tcp -m tcp -m multiport -s 10.10.10.10 -d 10.10.20.0/24 --dports 80,443 -m state --state NEW -j RULE_10
$IPTABLES -A RULE_10 -j LOG --log-level info --log-prefix "RULE 10 -- ACCEPT "
$IPTABLES -A RULE_10 -j ACCEPT

L'ACCEPT est donc normal.
En revanche, je ne m'explique pas les DENY qui viennent de ma règle 13 puisque la source, la destiunation et le port sont les mêmes.
echo "Rule 13 (global)"
#
$IPTABLES -N RULE_13
$IPTABLES -A OUTPUT -j RULE_13
$IPTABLES -A INPUT -j RULE_13
$IPTABLES -A FORWARD -j RULE_13
$IPTABLES -A RULE_13 -j LOG --log-level info --log-prefix "RULE 13 -- DENY "
$IPTABLES -A RULE_13 -j DROP

Je pense que ce problème génère une lenteur de mon site web.

Merci de votre aide.
François

raleur · 14-08-2022 23:10:06

frlevel a écrit :

je ne m'explique pas les DENY qui viennent de ma règle 13 puisque la source, la destiunation et le port sont les mêmes.

Et l'état ? Un paquet FIN ne peut pas être classé dans l'état NEW.

frlevel · 15-08-2022 17:30:33

Bonjour Raleur,

Merci de ce retour.
C'est exact, mais je ne m'explique pas ce qui génère ces trames.
Est-ce que cela pourrait venir de mon reverse proxy ?
J'avoue être dans le flou complet.

raleur · 15-08-2022 19:59:08

Les paquets FIN sont émis par la couche TCP des deux extrémités d'une connexion TCP lors de la clôture de celle-ci. Il peut arriver qu'un des paquets ou sa retransmission arrive trop tard et soit classé dans l'état INVALID par le suivi de connexion de netfilter qui a déjà oublié la connexion.

frlevel · 15-08-2022 20:44:54

Merci, mais ce qui me paraît embêtant dans mon cas, c'est que c'est systématique.
Je vais continuer à creuser.

Debian-facile

#1 14-08-2022 22:43:27

Iptables - Incohérences apparentes dans les logs

#2 14-08-2022 23:10:06

Re : Iptables - Incohérences apparentes dans les logs

#3 15-08-2022 17:30:33

Re : Iptables - Incohérences apparentes dans les logs

#4 15-08-2022 19:59:08

Re : Iptables - Incohérences apparentes dans les logs

#5 15-08-2022 20:44:54

Re : Iptables - Incohérences apparentes dans les logs

Pied de page des forums