Tengo la siguiente regla para iptables:
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
de manera que se registren las conexiones salientes no clasificadas como establecidas. En ocasiones, el registro de salida del firewall capturaría dichos paquetes:
09:56:48 DST=a.b.167.208 TTL=64 SPT=80 DPT=25960 WINDOW=119 ACK URGP=0
09:48:48 DST=a.b.166.231 TTL=64 SPT=80 DPT=29861 WINDOW=119 ACK PSH URGP=0
09:29:57 DST=a.b.167.244 TTL=64 SPT=80 DPT=58244 WINDOW=119 ACK URGP=0
Tras un examen más detenido, el registro de acceso al servidor web revela que hay conexiones entrantes correspondientes a las direcciones IP anteriores entre 75 y 100.
¿Por qué las conexiones anteriores no se clasifican como establecidas por el módulo conntrack? ¿Y qué se podría hacer para filtrar el ruido?
Respuesta1
Según tengo entendido, una conexión TCP solo entra en ESTABLISHEDestadodespuésha ACKpasado y los ACKpaquetes son exactamente lo que parece que está registrando (y bloqueando) allí.
http://www.iptables.info/en/connection-state.html#TCPCONNECTIONS
Has probado --ctstate ESTABLISHED,RELATED?
Solo registrando eso "ocasionalmente", como dijiste: dmesg/syslog no capturará todos los paquetes. Si llegan demasiados mensajes similares, se descartarán para evitar la inundación de registros. Eso es configurable, pero está más allá del alcance de esta pregunta.