3 votes

Question Overflow avatar

Pourquoi certains trafics IP sortants ne contiennent-ils pas d'informations sur l'UID ?

Demandé el 11 de Septembre, 2014
Quand la question a-t-elle été
436 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je fais de la journalisation de sortie sur mon serveur en utilisant IPTABLES avec la ligne suivante qui est censée fournir des informations sur l'UID de tout le trafic qui est enregistré :

-A OUTPUT -j LOG --log-prefix "IPTABLES(O): " --log-level info --log-uid

Cependant, de temps en temps, je recevais des journaux sans UID comme ceci :

IPTABLES(O) : IN= OUT=eth0 SRC=1.2.3.4 DST=5.6.7.8 LEN=83 TOS=0x00 PREC=0x00 TTL=64 ID=54321 DF PROTO=TCP SPT=50505 DPT=443 WINDOW=342 RES=0x00 ACK PSH FIN URGP=0

Quelles sont les raisons pour lesquelles le trafic sortant ne contient pas d'informations sur l'UID ?

Demandé el 11 de Septembre, 2014 par Question Overflow

Réponse

Trop de publicités?

5voto

Sankalp Bose avatar
Sankalp Bose Points 41

L'une des raisons habituelles est la séquence FIN ACK de terminaison. Lorsqu'une application cliente appelle close() sur la socket TCP, un paquet ACK + FIN est envoyé au serveur et le programme client se termine. À ce stade, il n'y a plus de processus associé à la connexion TCP, mais celle-ci n'est pas encore terminée.

Lorsqu'on applique un filtre propriétaire, il est d'usage d'ajouter également une règle pour ACCEPTER les paquets avec l'état ESTABLISHED afin de couvrir ces "paquets résiduels".

iptables -A OUTPUT -p tcp --dport 443 -m owner --uid-owner foo -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m state --state ESTABLISHED -j ACCEPT
Répondu el 27 de Novembre, 2018 par Sankalp Bose (41 Points )

0 votes

Avatar de Irfan Latif

github.com/torvalds/linux/commit/

Commenté el 12 de Janvier, 2020 par Irfan Latif

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X