strange, sticky connections

Greetings,

Occasionally I'll find connections destined for my web server (192.168.1.20) logged as TCP Drop, even though I allow everything destined for port 80 to .20

In running 'netstat --tcp -c 1' on .20 I can see the connection hung in a state of SYN_RECV:

[...]
tcp        0      0 192.168.1.20:80         209.130.30.130:64845    SYN_RECV
tcp        0      0 192.168.1.20:80         209.130.30.130:54010    SYN_RECV
tcp        0      0 192.168.1.20:80         209.130.30.130:47173    SYN_RECV
[...]

In matching the destination ports above, here's the log from the astaro box (vishnu is configured as eth0:192.168.1.1, eth1:64.81.213.39):

[...]
Mar 19 12:19:59 vishnu kernel: TCP Drop: IN=eth0 OUT=eth1 SRC=192.168.1.20 DST=209.130.30.130 LEN=44 TOS=0x00 PREC=0x00 TTL=63 ID=17987 DF PROTO=TCP SPT=80 DPT=64845 WINDOW=31624 RES=0x00 ACK SYN URGP=0

Mar 19 12:19:00 vishnu kernel: TCP Drop: IN=eth0 OUT=eth1 SRC=192.168.1.20 DST=209.130.30.130 LEN=44 TOS=0x00 PREC=0x00 TTL=63 ID=17900 DF PROTO=TCP SPT=80 DPT=54010 WINDOW=31624 RES=0x00 ACK SYN URGP=0

Mar 19 12:19:04 vishnu kernel: TCP Drop: IN=eth0 OUT=eth1 SRC=192.168.1.20 DST=209.130.30.130 LEN=44 TOS=0x00 PREC=0x00 TTL=63 ID=17901 DF PROTO=TCP SPT=80 DPT=47173 WINDOW=31624 RES=0x00 ACK SYN URGP=0
[...]


My guess is that something isn't quite right with the stateful inspection. 209.130.30.130 is acting funny and this may be apparent in one of the fields of the log. If there's a tutuorial or FAQ somewhere that explains this please point me to it.


Cheers,
-zeek

This thread was automatically locked due to age.