NAT gegen proxy

Computer: Software & Programmierung UNIX & Linux
#1

Hi,

auf einem Gateway lenke ich alle Anfragen zu Port 80 auf den squid auf 192.168.1.1:3128 um:

root@loki [~] $ iptables -t nat -nL PREROUTING
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.1.1:3128
root@loki [~] $

Eingehend akzeptiere ich alle RELATED,ESTABLISHED. Es scheint alles soweit zu funktionieren, ich stelle keine Probleme fest. Aber seit dem DNAT versucht der squid gelegentlich, Pakete bei mir loszuwerden, welche die state machine nicht zuordnen kann:

root@loki [~] $ grep SPT=3128 /var/log/sys.log | tail
Jul 25 23:30:58 loki kernel: MODIIN (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.4 LEN=40 TOS=0x08 PREC=0x00 TTL=253 ID=0 DF PROTO=TCP SPT=3128 DPT=1416 WINDOW=0 RES=0x00 RST URGP=0
Jul 25 23:30:59 loki kernel: MODIIN (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.4 LEN=40 TOS=0x08 PREC=0x00 TTL=253 ID=0 DF PROTO=TCP SPT=3128 DPT=1417 WINDOW=0 RES=0x00 RST URGP=0
Jul 30 00:53:43 loki kernel: ODININ (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.2 LEN=1171 TOS=0x00 PREC=0x00 TTL=62 ID=63730 DF PROTO=TCP SPT=3128 DPT=1299 WINDOW=6432 RES=0x00 ACK PSH URGP=0
Jul 30 00:53:43 loki kernel: ODININ (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.2 LEN=40 TOS=0x00 PREC=0x00 TTL=62 ID=63731 DF PROTO=TCP SPT=3128 DPT=1299 WINDOW=6432 RES=0x00 ACK FIN URGP=0
Jul 30 00:53:46 loki kernel: ODININ (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.2 LEN=1171 TOS=0x00 PREC=0x00 TTL=62 ID=63732 DF PROTO=TCP SPT=3128 DPT=1299 WINDOW=6432 RES=0x00 ACK PSH URGP=0
Jul 30 00:53:52 loki kernel: ODININ (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.2 LEN=1171 TOS=0x00 PREC=0x00 TTL=62 ID=63733 DF PROTO=TCP SPT=3128 DPT=1299 WINDOW=6432 RES=0x00 ACK PSH URGP=0
Jul 30 00:54:04 loki kernel: ODININ (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.2 LEN=1171 TOS=0x00 PREC=0x00 TTL=62 ID=63734 DF PROTO=TCP SPT=3128 DPT=1299 WINDOW=6432 RES=0x00 ACK PSH URGP=0
Jul 30 00:54:28 loki kernel: ODININ (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.2 LEN=1171 TOS=0x00 PREC=0x00 TTL=62 ID=63735 DF PROTO=TCP SPT=3128 DPT=1299 WINDOW=6432 RES=0x00 ACK PSH URGP=0
Jul 30 00:55:16 loki kernel: ODININ (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.2 LEN=1171 TOS=0x00 PREC=0x00 TTL=62 ID=63736 DF PROTO=TCP SPT=3128 DPT=1299 WINDOW=6432 RES=0x00 ACK PSH URGP=0
Jul 30 00:56:52 loki kernel: ODININ (unknown): IN=ipsec0 OUT=eth0 SRC=192.168.1.1 DST=192.168.0.2 LEN=1171 TOS=0x00 PREC=0x00 TTL=62 ID=63737 DF PROTO=TCP SPT=3128 DPT=1299 WINDOW=6432 RES=0x00 ACK PSH URGP=0
root@loki [~] $

Wohin mit den RST, ACK, ACK FIN? Wenn ich [1] richtig verstehe, sollte doch die Verbindung erst ungueltig werden, wenn all diese Pakete durch sind. Hab ich das falsch verstanden? Ist der squid kaputt oder meine Regeln?

Vielen Dank im Vorraus,
Gruss vom Zentrum.

===footnotes===
[1] http://iptables-tutorial.frozentux.net/iptables-tuto…