Comment comprendre pourquoi le paquet a été considéré comme invalide par les `iptables`?

Les paquets peuvent être dans divers états lors de l'utilisation d'une inspection de paquets d'état.

• NOUVEAU: le paquet ne fait pas partie d'un débit ou d'une douille connu et les drapeaux TCP ont le bit Syn sur.
• Établi: Le paquet correspond à un flux ou du socket suivi par CONNTRACK et contient des drapeaux TCP. Une fois la poignée de main initiale TCP terminée, le bit SYN doit être éteint pour qu'un paquet soit en état d'établir.
• - liée: le paquet ne correspond à aucun débit ou socket connu, mais le paquet est attendu car il existe une prise existante qui le prédique (des exemples de cela sont des données sur le port 20 lorsqu'il existe une Session FTP sur le port 21, ou les données UDP pour une connexion SIP existante sur le port TCP 5060). Cela nécessite une alg associée.
• invalide: Si aucun des états précédents n'applique que le paquet est en état INVALID. Cela pourrait être causé par divers types de sondes de réseau furtif, ou cela pourrait signifier que vous manquez d'entrées CONNTRACK (que vous devriez également voir indiquée dans vos journaux). Ou cela peut simplement être entièrement bénin.

Dans votre cas, le paquet que vous citez montre que les drapeaux TCP ACK et RST et que le port source est 80. Ce que cela signifie, c'est que le serveur Web à 31.13.72.7 (Qui se trouve être Facebook) envoya un paquet de réinitialisation à vous. Il est tout à fait impossible de dire pourquoi sans voir les paquets qui sont venus avant cela (le cas échéant). Mais probablement, il vous envoie une réinitialisation pour la même raison pour laquelle votre ordinateur pense que ce n'est pas valide.