DROP_NEW_NOTSYN zu news-servern?

[Kay Martinen]

Hallo

ich bemerke seit einiger Zeit öfters lange wartezeiten wenn ich mit
meinem NUA auf tota-refugium.de zugreife. Die kommen nicht immer vor.
Aber so alle paar dutzend gelesene artikel braucht es dann länger oder
es kommt teilweise gar nichts an. Und wenn doch dann mit verstümmelten
Sonderzeichen.

Im FW-Log des IPfire finde ich Einträge wie diese:

DROP_NEWNOTSYN green0 TCP 192.168.1.30 39062 148.251.67.112 119
DROP_NEWNOTSYN green0 TCP 192.168.1.21 55986 130.133.110.85 119

Die eine IP ist tota, der andere ist spline.de

Aber warum NEWNOTSYN? Das sind doch verbindungen die VON INNEN initiiert
werden (green0). Das sieht aus als ob die firewall da etwas verschluckt
was sie nicht soll oder etwas anderes hakt.

Kann das am Client liegen, also am NUA (siehe Header). Das der die
verbindung nicht richtig neu auf macht oder ähnliches?

Ein interner News-server (SN on Eisfair) der news.spline.de abfragt
scheint davon ebenfalls betroffen zu sein (2. Zeile).

Die FW hat m.W. keine Regeln die das Verhalten erklärten und das es ein
Fehlschuß des IDS mit Snort-Community-rules ist sehe ich nicht weil die
obigen Einträge aus dem Firewall-log sind - im IDS-Log aber dazu nichts
auftaucht. Das IDS WAR allerdings auch auf dem Internen LAN (green)
aktiv, das habe ich testweise eben mal deaktiviert.

Aber erklären kann ich das dennoch noch nicht. Weiß jemand mehr?

Kay
--
https://www.linuxcounter.net/cert/224140.png

[Nomen Nescio]

Kay Martinen <k...@martinen.de> wrote:

> Aber erklären kann ich das dennoch noch nicht. Weiß jemand mehr?

NAT-Timeout. Mit REJECT statt DROP gäbe es keine Wartezeit im NUA.