次のようなルールがありますiptables:
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
確立済みとして分類されていない送信接続がログに記録されるようになります。場合によっては、ファイアウォールの出力ログに次のようなパケットが記録されることがあります。
09:56:48 DST=a.b.167.208 TTL=64 SPT=80 DPT=25960 WINDOW=119 ACK URGP=0
09:48:48 DST=a.b.166.231 TTL=64 SPT=80 DPT=29861 WINDOW=119 ACK PSH URGP=0
09:29:57 DST=a.b.167.244 TTL=64 SPT=80 DPT=58244 WINDOW=119 ACK URGP=0
さらに調べてみると、Web サーバーのアクセス ログを見ると、75 ~ 100 番台の IP アドレスに対応する着信接続が以前にあったことがわかります。
上記の接続が conntrack モジュールによって確立済みとして分類されないのはなぜですか? また、ノイズを除去するにはどうすればよいでしょうか?
答え1
私の理解では、TCP接続はESTABLISHED状態に入るだけです後はACK通過し、ACKパッケージはまさにそこにログ記録 (およびブロック) されているものと同じものになります。
http://www.iptables.info/en/connection-state.html#TCPCONNECTIONS
やってみました--ctstate ESTABLISHED,RELATED?
あなたが言ったように「ときどき」のみログに記録する場合、dmesg/syslog はすべてのパケットをキャプチャしません。類似のメッセージが多すぎると、ログの氾濫を避けるためにそれらのメッセージが破棄されます。これは設定可能ですが、この質問の範囲外です。