- Mitglied seit
- 29 Jul 2005
- Beiträge
- 263
- Punkte für Reaktionen
- 0
- Punkte
- 16
Hallo nochmal,
ich habe mich nun noch etwas mit dem connection tracking beschäftigt, weil bei mir manche Dinge nicht gehen, weil ip_conntrack_tcp die Verbindung für kaputt hält:
Ich habe einiges gelesen (u.a. im Buch "Linux Firewalls mit iptables & Co." von Addison Wesley) und es scheint mir, dass unser Kernel 2.4.17 der FritzBox einfach zu alt ist. Sinngemäßes Zitat (aus dem Kopf):
"Das connection tracking des Linux stand lange seit unter der Kritik, dass das TCP-Window-Tracking zu streng sei und viele Clients, die sich nicht 100% an das Protokoll halten, nicht funktionieren.... Inzwischen wurde das deutlich verbessert..."
Ich habe versucht, die aktuellen Patches von netfilters patch-o-matic in unseren Kernel zu übertragen, das hat aber nicht geklappt, weil dazu u.a. ein Patch mit dem Namen nf-log notwendig ist, der aber mindestens Linux 2.4.31 voraussetzt :-(
Also bliebe noch die Möglichkeit, solche "kaputten" Pakete an bestimmte Ziele einfach gar nicht abzuweisen (z.B. an localhost - wie wir es ja im Zusammenhang mit dem telefon-Dämon brauchen). Aber ich kriege die Pakete in keiner Chain akzeptiert. Offenbar passiert dieses Abweisen vorher...
Irgendwelche Ideen?
Dirk
ich habe mich nun noch etwas mit dem connection tracking beschäftigt, weil bei mir manche Dinge nicht gehen, weil ip_conntrack_tcp die Verbindung für kaputt hält:
Code:
May 6 11:13:30 fritz.box kernel: SRC=192.168.xx.xx DST=xx.xx.xx.xx LEN=52 TOS=0x08 PREC=0x00 TTL=64 ID=56670 DF PROTO=TCP SPT=xx DPT=xx SEQ=2084163667 ACK=910903613 WINDOW=1728 RES=0x00 ACK FIN URGP=0 OPT (0101080A1898B4B4000281BF) ip_conntrack_tcp: INVALID
Ich habe einiges gelesen (u.a. im Buch "Linux Firewalls mit iptables & Co." von Addison Wesley) und es scheint mir, dass unser Kernel 2.4.17 der FritzBox einfach zu alt ist. Sinngemäßes Zitat (aus dem Kopf):
"Das connection tracking des Linux stand lange seit unter der Kritik, dass das TCP-Window-Tracking zu streng sei und viele Clients, die sich nicht 100% an das Protokoll halten, nicht funktionieren.... Inzwischen wurde das deutlich verbessert..."
Ich habe versucht, die aktuellen Patches von netfilters patch-o-matic in unseren Kernel zu übertragen, das hat aber nicht geklappt, weil dazu u.a. ein Patch mit dem Namen nf-log notwendig ist, der aber mindestens Linux 2.4.31 voraussetzt :-(
Also bliebe noch die Möglichkeit, solche "kaputten" Pakete an bestimmte Ziele einfach gar nicht abzuweisen (z.B. an localhost - wie wir es ja im Zusammenhang mit dem telefon-Dämon brauchen). Aber ich kriege die Pakete in keiner Chain akzeptiert. Offenbar passiert dieses Abweisen vorher...
Irgendwelche Ideen?
Dirk