Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Syslog aide sur une entrée

djedje68

Bonjour,

Sur un Ubuntu 14.04 utilisé comme serveur Web avec MariaDB, Apache et PHP, dans mon syslog j'ai des entrées récurrentes de ce type :

Apr 11 10:29:29 v-web-ftp kernel: [ 6225.443978] INPUT DROP all: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:86:dd SRC=0000:0000:0000:0000:0000:0000:0000:0001 DST=0000:0000:0000:0000:0000:0000:0000:0001 LEN=80 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=TCP SPT=35742 DPT=80 WINDOW=43690 RES=0x00 SYN URGP=0
Apr 11 10:29:30 v-web-ftp kernel: [ 6226.443269] INPUT DROP all: IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:86:dd SRC=0000:0000:0000:0000:0000:0000:0000:0001 DST=0000:0000:0000:0000:0000:0000:0000:0001 LEN=80 TC=0 HOPLIMIT=64 FLOWLBL=0 PROTO=TCP SPT=35742 DPT=80 WINDOW=43690 RES=0x00 SYN URGP=0

J'ai du mal à comprendre d'ou ça vient... Pourquoi ma carte "lo" envoi des paquets sur le port 80... ?
Et si je ne dois pas tenir compte de ce message, comment le supprimer ? J'ai regardé dans la configuration de rsyslog mais rien de parlant...

D'avance merci,

bruno

Bonjour,

Tout d'abord Ubuntu 14.04 n'est plus maintenue et est en fin de vie depuis le 30 avril. Il est urgent de mettre à niveau.
Ensuite de nombreux services sont susceptibles d'interroger un serveur web depuis l'interface de bouclage. Voir ce qu'est v-web-ftp et ce qu'il fait dans ton cas.
Enfin cela ne me paraît pas normal que le pare-feu jette des paquets provenant de l'interface de bouclage.

djedje68

Bonjour,

Merci pour ta réponse,

Oui oui, la migration est prévue bientôt... mais merci du rappel 😉

v-web-ftp c'est le serveur en question.

Ben oui justement, c'est pour ça que je pose la question... mais je n'ai pas encore de pistes à vérifier :/

bruno

djedje68 a écritv-web-ftp c'est le serveur en question.

Pour l'instant toi seul sait ce que peut bien faire ce serveur…
Et tu as sans doute des règles de pare-feu un peu trop strictes.

djedje68

Tout a fait, j'ai précisé les services utilisés.. .mais je vais enquêter un peu plus...

Concernant les règles de pare feu, déjà pourquoi c'est dans syslog ?
Ensuite, voici ma conf iptables :

Chain INPUT (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp-data
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  xxxxxxxxxxxxxxxxx     anywhere             tcp dpt:ssh


Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

C'est ça qui est étrange c'est que je ne vois pas quelle règle bloque ça ! En plus, le port de destination c'est le 80 qui est forcément open vu que c'est un service apache derrière...

bruno

C'est probablement rejeté par la première chaîne qui rejette ces paquets (--state INVALID). Un paquet est considéré dans un état invalid s'il n'est dans aucun des autres états possibles : new, established, related

djedje68

C'est ce que je me disais aussi....
Mais ce qui est étrange alors, c'est pourquoi le paquet est invalide....

djedje68

Par contre, si tu as une idée de comment supprimer ces entrées de mon syslog, je suis preneur... je ne trouve pas comment faire :/

bruno

Soit tu vires l a règles qui jette tous les paquets marqués comme "invalid", soit tu mets avant une règle qui autorise tout provient de l'interface lo.