Diese kryptischen IP Flags „ACK FIN URGP=0“ haben mich dann doch irgendwann gestört – die Logdateien (ulog) wurden durch iptables Logging Meldungen mit haufenweise geblockten Verbindungen vollgepumpt.

Und das erstaunliche – im Prinzip sollte die Verbindung weder geblockt werden, noch schien das der Fall zu sein. Denn alle gemeldeten Verbindungen waren Port 80 – und wenn der Webserver nicht funktionieren würde, hätte ich das sehr schnell gemerkt.

Was war aber nun der Grund für angeblich geblockte Pakete mit den „ACK FIN URGP=0“ Flags?

Es handelte sich um Pakete, die durch die stateful Firewall nicht (mehr) zugeordnet werden konnten, und daher von der Default Regel gedroppt wurden. Aha!
Gründe dafür könnten z.B. sein, dass die FIN ACK (Verbindung beenden) Pakete sehr spät eingetroffen sind, und dann nicht mehr erkannt werden, oder aber auch eine hohe Anzahl Verbindungen, so dass die Zuordnungstabelle schnell voll ist. (Oder eben wirklich ein fieser gemeiner Hacker…)

Abhilfe: Entweder mit dem Wissen wieso und warum die „ACK FIN URGP=0“ Pakete auftauchen ignorieren, oder aber für die Ports, auf denen sehr viele Verbindungen behandelt werden (Port 80 / HTTP z.B.) die Firewall stateless laufen lassen.

Was ich interessant finde: Trotz Google und Lesen diverser Mailinglisten habe ich zu diesem Problem keine Antwort gefunden, wohl aber ein paar Foren in denen scheinbar jemand vor einem ähnlichen Phänomen stand (z.B. hier, auch mit Port 80) – vielleicht hilft dies Posting ja auch dem einen oder anderen.

(Ich bin kein Firwall oder iptables Experte, wenn jemand dazu noch einen guten Rat hat… immer her damit!)