Archives mensuelles : juin 2025

Nftable Conntrack sur trafic sortant

Laisser un commentaire

Ça m’aura bouffer un max de temps et pourtant c’était simple.

Depuis plus d’un an j’étais inquiet de voir des connexions sortant sur mon serveur vers des ports et des adresses inconnues. Donc pour éviter les dégats je listait et dropait ces paquets.

Le deuxième temps de la brasse a été l’utilisation de pctpdump et de auditd pour essayer de coincer le process coupable sans jamais rien obtenir de probant. Bien sur ça m’a poussé à faire un ménage sérieux sur la machine. Et alors que j’ai déjà lu une bonne centaine de fois mes logs …

2025-06-29T01:46:57.611976+02:00 vps kernel: [2367637.155868] IN= OUT=eth0 SRC=137.74.47.15 DST=61.230.109.100 LEN=1492 TOS=0x00 PREC=0x00 TTL=64 ID=62010 DF PROTO=TCP SPT=443 DPT=64105 WINDOW=501 RES=0x00 ACK URGP=0

Je me suis exclamé mékilécon le premier paquet d’un connexion doit avoir les flags SYN,ACK et là je n’ai que des ACK -> ce ne sont donc pas des nouvelles connexions et Conntrack doit se baser sur les séquences et là probablement que l’on a une répétition de l’envoi de l’acquittement d’un paquet.

Donc je ne me suis pas fait poutrer et ma machine n’est pas utilisée pour emm… le monde. Franchement c’est rassurant.

ehci_hcd should always be loaded before uhci_hcd not after

Laisser un commentaire

Bon j’avais l’erreur de l’objet sur ma Debian Trixie avec comme effet un scanner plutôt lent.

Après avoir cherché sur le net des solutions aucune ne me satisfaisait vraiment. Donc j’ai creusé et je suis tombé sur les softdeps . (man 5 modprobe.d)

La solution à affiner est de créer un fichier dans /etc/modprobe.d moi je l’ai appelé ehci_hcd.conf

dans ce fichier j’ai mis les lignes :

#devrais forcer le chargement d'EHCI avant OHCI 
softdep ehci_hcd post: ohci_hcd uhci_hcd
softdep ohci_hcd pre: ehci_hcd
softdep uhci_hcd pre: ehci_hcd

un depmod -a suivi de update-initramfs -u et le tour est joué.

En fait le premier softdep ne suffisait pas je n’ai pas creusé mais il devait y avoir un jeu de dépendances qui bloquait, peut être le fait d’imposer le chargement ohci_cd avant uhci_cd. Donc j’ai bétonné avec les deux autre lignes.

Je trouve la solution assez élégante même si pour l’instant c’est un peu brut de fonderie. En tout cas ça fait le job.