Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.security.firewall > #130

DROP_NEW_NOTSYN zu news-servern?

Show all headers | View raw

Hallo

ich bemerke seit einiger Zeit öfters lange wartezeiten wenn ich mit
meinem NUA auf tota-refugium.de zugreife. Die kommen nicht immer vor.
Aber so alle paar dutzend gelesene artikel braucht es dann länger oder
es kommt teilweise gar nichts an. Und wenn doch dann mit verstümmelten
Sonderzeichen.

Im FW-Log des IPfire finde ich Einträge wie diese:

DROP_NEWNOTSYN green0 TCP 192.168.1.30 39062 148.251.67.112 119
DROP_NEWNOTSYN green0 TCP 192.168.1.21 55986 130.133.110.85 119

Die eine IP ist tota, der andere ist spline.de

Aber warum NEWNOTSYN? Das sind doch verbindungen die VON INNEN initiiert
werden (green0). Das sieht aus als ob die firewall da etwas verschluckt
was sie nicht soll oder etwas anderes hakt.

Kann das am Client liegen, also am NUA (siehe Header). Das der die
verbindung nicht richtig neu auf macht oder ähnliches?

Ein interner News-server (SN on Eisfair) der news.spline.de abfragt
scheint davon ebenfalls betroffen zu sein (2. Zeile).

Die FW hat m.W. keine Regeln die das Verhalten erklärten und das es ein
Fehlschuß des IDS mit Snort-Community-rules ist sehe ich nicht weil die
obigen Einträge aus dem Firewall-log sind - im IDS-Log aber dazu nichts
auftaucht. Das IDS WAR allerdings auch auf dem Internen LAN (green)
aktiv, das habe ich testweise eben mal deaktiviert.

Aber erklären kann ich das dennoch noch nicht. Weiß jemand mehr?

Kay
-- 
https://www.linuxcounter.net/cert/224140.png

Back to de.comp.security.firewall | Previous | Next — Next in thread | Find similar

Thread

DROP_NEW_NOTSYN zu news-servern? Kay Martinen <kay@martinen.de> - 2016-10-01 16:46 +0200
  Re: DROP_NEW_NOTSYN zu news-servern? Nomen Nescio <nobody@dizum.com> - 2016-10-02 15:28 +0200

csiph-web