 Iptables не обрывает соединение. И должен ли?,  Gimily, 01-Сен-04, 18:15 [смотреть все]Возьмем следующую ситуацию:
По умолчанию
INPUT - ACCEPT
OUTPUT - ACCEPT
FORWARD - DROP
Добавляю пару правил, для конкретного IP
Теперь FORWARD - ACCEPT в обе стороны
Ну и POSTROUTING - MASQUERADE.
Запускаю аську и удаляю последние правила, разрешающие мне форвард и маскарад, но аська продолжает работать!
Не рвутся именно текущие сессии, если попробывать выйти из аськи, а потом снова зайти то уже никто никуда никого не пустит ...
Я так понимаю, что это связано с ip_conntraq? И как разрулить эту ситуацию? |
- Iptables не обрывает соединение. И должен ли?, Xela, 10:40 , 03-Сен-04 (1)
>Я так понимаю, что это связано с ip_conntraq? И как разрулить эту
>ситуацию? Это связано с тем, что iptables statefull firewall. И такое поведение --- вполне нормальное. К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table. Возможно при использовании ключа -F он это делает, но проверить не могу.
- Iptables не обрывает соединение. И должен ли?, Александр Лурье, 16:33 , 03-Сен-04 (2)
>К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table.
>Возможно при использовании ключа -F он это делает, но проверить не
>могу. -F этого не делает. К сожалению, из исходного письма не видно, какие конкретно правила добавлялись для разрешения доступа, но если эти правила были такого вида:
iptables -A FORWARD -i $int -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $int -p tcp --dport http -j ACCEPT и удалить последнее правило, то уже установленные соединения будут продолжать работать благодаря разрешению для пакетов, классифицированных как ESTABLISHED. Если удалить оба правила, то пакеты передаваться перестанут даже для уже установленных соединений.
|
Версия для распечатки
