[Pluto-security] Log di iptables sconosciuti

Dido dido@sicurweb.com
Thu, 03 Oct 2002 12:24:12 +0200


Ciao! So che il connection tracking per il protocollo H323 ha sempre dato=20
qualche problema... Personalmente non l'ho mai usato, per cui non ti so=20
dire se i problemi sono strutturali (della patch) o di configurazione=20
(l'installazione della stessa)...

At 08.29 03/10/2002 +0200, you wrote:
>Ciao a tutti, sto ceracndo di configurare iptables in modo che mi faccia=20
>passare le chiamate H.323 verso una workstation della mia lan.
>Ho creato i moduli ip_nat_h323 e ip_contack_h323, ho messo delle regole=20
>che mi nattano le porte 1731 1720 1503 522 389 verso la mia workstation e=
=20
>caricato i moduli h323.
>Cos=EC riesco a farmi raggiungere dall'esterno, ma solo usando direttamente=
=20
>l'ip, non con gli elenchi in linea

Forse l'utilizzo degli elenchi in linea richiede una ulteriore porta... Mi=
=20
sembra di avere letto da qualche parte che li basa su elenchi=20
ldap...(ammetto di non aver mai cercato quale porta =E8 utilizzata da=
 ldap...)

>facendo un po' di prove ho visto questi log:
>
>Oct  2 21:59:50 cerbero kernel: H.323_NAT: partial packet 0/6 in 0/0
>
>Oct  2 23:28:30 cerbero kernel: ip_conntrack: max number of expected=20
>connections 8 of H.245 reached for 192.168.0.101->XXX.XXX.XXX.XXX reusing

Qui =E8 chiaro: il connection tracking ha un massimo numero di connessioni=
=20
simultanee nelle connection table, settabile da=20
/proc/sys/net/ipv4/ip_conntrack_max. Non so se poi il modulo H323 ne ha uno=
=20
suo.... Tu cmq hai raggiunto il max.
Ah, non =E8 il max numero in totale =E8 solo quello per la stateful=
 inspection!


>Oct  2 22:36:24 cerbero kernel: SRC=3DXXX.XXX.XXX.XXX DST=3DXXX.XXX.XXX:XXX=
=20
>LEN=3D40 TOS=3D0x00 PREC=3D0x00 TTL=3D117 ID=3D24372 PROTO=3DTCP SPT=3D1720=
 DPT=3D1739=20
>SEQ=3D1404482340 ACK=3D1250996480 WINDOW=3D0 RES=3D0x00 ACK URGP=3D0=20
>ip_conntrack_tcp: INVALID: bad TCP checksum.

Questo non so...

Dido