Назад | Перейти на главную страницу

Что означают лишние части записи в журнале проверки связи iptables?

Я отбрасываю все пакеты ICMP типа 8 в цепочке INPUT, и теперь я вижу записи журнала, когда сценарий Fabric пытается связаться с другим сервером, например:

kernel: INPUT DROP IN=eth0 OUT= SRC=<ip1> DST=<ip2> LEN=88 TOS=0x00 PREC=0xC0 TTL=50 ID=60964 PROTO=ICMP TYPE=3 CODE=3 [SRC=<ip2> DST=<ip1> LEN=60 TOS=0x00 PREC=0x00 TTL=49 ID=45897 DF PROTO=TCP SPT=34120 DPT=22022 WINDOW=14600 RES=0x00 SYN URGP=0 ]

Однако они отличаются от записей журнала tcp / udp, к которым я привык, особенно от раздела в квадратных скобках. К чему это разные части относятся?

Это сообщение о том, что пункт назначения недоступен (тип 3), порт недоступен (код 3). Таким образом, он инкапсулирует некоторые данные об исходном соединении, которое сгенерировало сообщение, что вы видите в угловых скобках. Итак, IP1 попытался подключиться к ip2 через TCP, от исходного порта 34120 к целевому порту 22022 и т. Д. Это сгенерировало ICMP сообщение о недоступности пункта назначения, которое вы затем сбросили.

В качестве примечания я бы очень тщательно подумал о блокировке всего ICMP-трафика. Обычно это плохая идея.