Am un server Rails (ROR) în spatele Firewall-ului (FWL). ROR trebuie să trimită în mod constant informații către Digital Ocean Spaces (DOS). Rețineți că ROR nu este în centrul de date Digital Ocean.
ROR <--> FWL <--> Internet <--> DOS
Paravanul meu de protecție are următoarea regulă:
# Înregistrați numai pachetele FORWARD nevalide
${IPT} -A FORWARD -m conntrack --ctstate INVALID -j LOG --log-level alert --log-prefix 'DROP FORWARD_INV: '
#${IPT} -A FORWARD -m conntrack --ctstate INVALID -j DROP
Deci, doar îl înregistrez, dar sunt gata să îl blochez.
Apoi, concluziile mele vor începe pe 16 ianuarie:
$ # Notă: 138.68.32.225 este sfo2.digitaloceanspaces.com.
$ sudo grep -E "FORWARD_INV:.*138.68.32.225" /var/log/kern.log | cap -1
Jan 16 00:10:47 prd1fwl100 kernel: [2660776.069502] DROP FORWARD_INV: IN=ens20 OUT=ens18 MAC=96:c5:9a:8e:13:0d:52:b4:ff:05:08:d 00 SRC=172.21.20.2 DST=138.68.32.225 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=14134 DF PROTO=TCP SPT=39966 DPT=443 WINDOW=601 RESACK=0RST00GP
Și iată ce nu primesc!!!
$ sudo grep -E "FORWARD_INV:.*138.68.32.225" /var/log/kern.log | wc -l
2971
$ sudo grep -E "FORWARD_INV:.*138.68.32.225" /var/log/kern.log | awk „{printează $25,$26}” | sortare | uniq -c
2957 ACK RST
14 RST URGP=0
De ce software-ul din serverul ROR își încetează comunicarea cu DOS folosind ACK/RST? Nu trebuia să folosească FIN în schimb? De ce modulul Netfilter etichetă acest ACK/RST ca nevalid?
