The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Странности с NOTRACK в iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Странности с NOTRACK в iptables"  +/
Сообщение от Rom1 email(ok) on 18-Дек-08, 15:27 
Debian etch

Пытаюсь снять чуток нагрузки со шлюза, путем отключения слежения состояния пакетов, пишу команду:
iptables -t raw -I PREROUTING -d ! 10.0.0.0/8 -j NOTRACK

В FROWARD'е делаю проверку:
iptables -t filter -I FORWARD -m state --state UNTRACKED -j LOG
Сыпит в лог что мама не горюй.

А так в FROWARD'е делаю:
iptables -t filter -I FORWARD -m state --state NEW -j LOG
Не сыпит ничего - значит NOTRACK работает как надо.

НО! /proc/net/ip_conntrack все-равно полон строчек:
tcp      6 170464 ESTABLISHED src=10.10.10.49 dst=89.232.126.111 sport=56085 dport=4987 packets=53990 bytes=41071003 [UNREPLIED] src=89.232.126.111 dst=10.10.10.49 sport=4987 dport=56085 packets=0 bytes=...

Чего делаю не так?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Странности с NOTRACK в iptables"  +/
Сообщение от Rom1 email(ok) on 20-Дек-08, 08:19 
После перезагрузки системы эти строчки пропали из ip_conntrack. Странно что они не ушли после того как включили NOTRACK
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Странности с NOTRACK в iptables"  +/
Сообщение от s_dog (??) on 20-Дек-08, 10:43 
>После перезагрузки системы эти строчки пропали из ip_conntrack. Странно что они не
>ушли после того как включили NOTRACK

репорти баг!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Странности с NOTRACK в iptables"  +/
Сообщение от Rom1 email(ok) on 20-Дек-08, 11:11 
>репорти баг!

Да, отрепОртил уже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Странности с NOTRACK в iptables"  +/
Сообщение от ZhAN on 10-Ноя-09, 22:04 
> Странно что они не ушли после того как включили NOTRACK

Включение NOTRACK действует лишь на новые соединения. Когда ты его включил в памяти уже были "оттреканые" соединения. Откуда им знать что ты перестал трекать новые?

Короче они бы и сами исчезли через заданные таймауты (для установленных соединений в линуксе по-умолчанию таймаут 5 (!) суток).


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру