Router mögötti gép csomagszűrőjén fennakadó csomagok?

Security-all

Inkább magyarázatot, mint segítséget kérnék: a laptopom logjában fedeztem fel, hogy a csomagszűrőn külső címről érkező TCP csomagok akadnak fenn.
Kb. ilyesmi:

jan 20 22:38:48 lat kernel: [UFW BLOCK] IN=wlp1s0 OUT= MAC=gépem:routeré SRC=172.217.18.78 DST=gépem címe LEN=1470 TOS=0x00 PREC=0x00 TTL=56 ID=57 PROTO=TCP SPT=443 DPT=45904 WINDOW=170 RES=0x00 ACK URGP=0

Többnyire ACK és RST flaggel jönnek.
Ez normális így?
A routerem korábban is csinált érdekes dolgokat, de úgy vettem észre, ilyen üzenetek csak a legújabb fw telepítése óta jönnek (tévedés joga fenntartva, nem őrizgettem a régebbi logokat)

ui: előre is bocs, a következő pár napban még szándékomban áll pár hasonló súlyú kérdést feltenni. :)

  • 1453 megtekintés

( log69 | 2018. 01. 21., v – 14:54 )

Vajon miért blokkol https portról jövő csomagot, azt gondolnám hogy azt nem tiltod manuálisan az ufw-ben. Az alábbi parancs kimenete?

ufw status verbose

Minden blokkolva van, éljen a paranoia alapon.

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), deny (routed)
New profiles: skip

Ugyan LAN-on vagyok, de így legalább látom, hogy ki, mit akar matatni a gépeken.
Hogy a notebook packet filtere blokkolja, az meg valószínűleg azért van, mert mire beér a csomag, addig a böngésző ablakát bezártam... hmmmm... lehet, hogy ez nem is a router, hanem a firefox quantum hozadéka?

Én úgy gondolnám, hogy normális körülmények közt ezek a packetek már a router tűzfalán fel kellene, hogy akadjanak, ha a kapcsolatot kezdeményező gépen bezárom az azt használó programot.

( joco01 v | 2018. 01. 21., v – 22:02 )

A routeren át NAT-tal lát ki a netre a géped. A NAT pedig connection trackinggel van megoldva. Amikor a géped kapcsolatot nyit a külvilág felé, a router ezt megjegyzi, és az arra érkező választ beengedi. Aztán amikor a géped vagy a másik fél lezárja a kapcsolatot, akkor a router is elfelejti ezt a kapcsolatot, és a külvilágtól nem fog több csomag bejönni.

Jó esetben tehát nem kellene ilyen logokat látnod. Ha mégis, az azt jelentheti, hogy a router szerint a kapcsolat még él, ezért engedte be, de a géped szerint meg már nem, ezért szól be az UFW. Hogy ez mitől lehet, passz. Lehet a conntrack bugja a routeren, vagy valami UFW-specifikus érdekesség, amikor egy processzt kilősz és még van élő kapcsolata (egy processz sokkal hamarabb meg tud halni, mint hogy a TCP szépen lezárná a kapcsolatot).

Ennek alapján inkább a routerre szavaznék.
Ugyanis az előbb néztem meg, hogy ha proxy-t használok, akkor a proxy szerverre mennek ezek a csomagok, ilyenkor a laptopra már nem jutnak el.
Köszi, akkor megy vissza az előző fw verzió.
Vagy nem tudom.
Lehet, hogy másik router kellene, mert szoftveresen ez nagyon gázos.

szerk: hát az biztos, hogy a fw downgrade nem fog segíteni. Ugyanis találtam decemberi logokat, azokban is vannak ilyen blokkolt csomagok. Az új fw viszont januárinak tűnik...

Ennél többet csak akkor, ha minden csomag megy a logba, de annyi tárhelyem nincs. ;)
Akkor inkább tcpdump -w, aztán meglátjuk.
Mivel ugyanez megtörténik debian9 ufw párosítás mellett a proxy-n is, feltételezem, hogy a router, bár belegondolva, ez elhamarkodott vélemény lehet... (sajnos vannak előítéleteim :( )
Hát akkor tcpdump, aztán folyt.köv.