J'ai un problème avec mon proxy squid/dansguardian en production, des paquets sont dropés de temps en temps sur mon firewall situé entre les clients (reseau interne eth1) le serveur mandataire (dmz eth0) et internet(ppp0), paquets marqués invalides allant des clients au proxy.
 
la chaine que j'utilise pour dropper et loguer les paquets invalides :
iptables -A FORWARD -m state --state INVALID -j LOG  --log-prefix '[FORWARD INVALID DROP]: ' --log-level info
iptables -A FORWARD -m state --state INVALID -j DROP
 
cela donne plein de drops de ce style :
[FORWARD INVALID DROP]: IN=eth1 OUT=eth0 SRC=ip_posteclient DST=ip_proxy LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=57798 DF PROTO=TCP SPT=4619 DPT=3128 WINDOW=65217 RES=0x00 ACK FIN URGP=0
 
Les drops sont plus ou moins aléatoire, et niveau utilisateur le surf se fait sans trop de problème, mais j'ai quand même environ 600 drops par jour pour un réseau ne faisant pas beaucoup de net.  
 
Je ne comprends pas pourquoi conntrack marque ces paquets invalides...si quelqu'un à une idée
 
Note : j'ai essayé squid en standalone cela fait pareil