У меня есть сервер Rails (ROR) за моим брандмауэром (FWL). ROR должен постоянно отправлять информацию в Digital Ocean Spaces (DOS). Обратите внимание, что ROR не находится в центре обработки данных Digital Ocean.
ROR <--> FWL <--> Интернет <--> DOS
Мой брандмауэр имеет следующее правило:
# Регистрировать только недопустимые пакеты FORWARD
${IPT} -A FORWARD -m conntrack --ctstate INVALID -j LOG --предупреждение на уровне журнала --префикс журнала 'DROP FORWARD_INV: '
#${IPT} -A FORWARD -m conntrack --ctstate INVALID -j DROP
Итак, я просто регистрирую это, но я готов заблокировать его.
Тогда мои выводы начнутся 16 января:
$ # Примечание: 138.68.32.225 — это sfo2.digitaloceanspaces.com.
$ sudo grep -E "FORWARD_INV:.*138.68.32.225" /var/log/kern.log | голова -1
16 января 00:10:47 ядро prd1fwl100: [2660776.069502] DROP FORWARD_INV: IN=ens20 OUT=ens18 MAC=96:c5:9a:8e:13:0d:52:b4:ff:05:19:d7:08: 00 SRC=172.21.20.2 DST=138.68.32.225 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=14134 DF PROTO=TCP SPT=39966 DPT=443 WINDOW=601 RES=0x00 ACK RST URGP=0
А вот что у меня не получается!!!
$ sudo grep -E "FORWARD_INV:.*138.68.32.225" /var/log/kern.log | туалет -л
2971
$ sudo grep -E "FORWARD_INV:.*138.68.32.225" /var/log/kern.log | awk '{print $25, $26}' | сортировать | уникальный -c
2957 ПОДТВЕРЖД.
14 РСТ УРГП=0
Почему программное обеспечение на сервере ROR прерывает связь с DOS с помощью ACK/RST? Разве вместо этого не предполагалось использовать FIN? Почему модуль Netfilter помечает этот ACK/RST как недействительный?
