Мои журналы показывают попытки подключения от Google, когда я захожу в Интернет. Этот журнал:

Jan 20 12:30:50 HOSTNAME kernel: Dropped: IN=wlp7s0 OUT= MAC=30:3a:64:02:f1:a7:e8:e7:32:c1:75:69:08:00 SRC=216.58.195.65 DST=10.113.194.49 LEN=40 TOS=0x00 PREC=0x00 TTL=57 ID=2933 PROTO=TCP SPT=443 DPT=40324 WINDOW=0 RES=0x00 RST URGP=0

говорит мне, что мой брандмауэр сбрасывает это входящее соединение. Как гласит мое правило брандмауэра:

-A INPUT -i all -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -m comment --comment "https" -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW,RELATED,ESTABLISHED -m comment --comment "https" -j ACCEPT

для меня это означает, что я разрешаю входящие пакеты только на мой порт 443, только если я его инициализировал. Это наводит меня на мысль, что Google пытается инициализировать соединение. Это нормально, чтобы заблокировать? Это нормально?

Я использую Firefox.

1 ответ1

1

Это не новое соединение. Это просто пакет RST (TCP Reset), отправленный сервером на территории Google, чтобы указать завершенное / закрытое соединение (состояние TCP FIN_WAIT). Возможно, ваша система слишком рано удаляет соединение из таблицы, поэтому брандмауэр неправильно интерпретирует пакет RST как новое соединение.

Кроме того, ваши правила iptables выглядят немного странно. Чтобы разрешить просмотр веб-страниц по протоколу HTTPS, достаточно использовать:

iptables -I OUTPUT -p tcp --dport=443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

Я не вижу причин принимать ВХОДЯЩИЕ соединения (СВЯЗАННЫЕ / УСТАНОВЛЕННЫЕ) из любого места, если исходный порт равен 443 (--sport = 443)

Если вы не выполняете никаких действий на сервере, вы можете ограничить цепочку INPUT, используя политику по умолчанию:

iptables -P INPUT DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Затем вы можете открыть определенные порты, если это необходимо, например. для запуска локального веб-сервера:

iptables -A INPUT -p tcp --dport=80 -d <<your-host-here>> -j ACCEPT

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .