Iptables не обрывает соединение. И должен ли?, Gimily, 01-Сен-04, 18:15 [смотреть все]Возьмем следующую ситуацию: По умолчанию INPUT - ACCEPT OUTPUT - ACCEPT FORWARD - DROP Добавляю пару правил, для конкретного IP Теперь FORWARD - ACCEPT в обе стороны Ну и POSTROUTING - MASQUERADE. Запускаю аську и удаляю последние правила, разрешающие мне форвард и маскарад, но аська продолжает работать! Не рвутся именно текущие сессии, если попробывать выйти из аськи, а потом снова зайти то уже никто никуда никого не пустит ... Я так понимаю, что это связано с ip_conntraq? И как разрулить эту ситуацию? |
- Iptables не обрывает соединение. И должен ли?, Xela, 10:40 , 03-Сен-04 (1)
>Я так понимаю, что это связано с ip_conntraq? И как разрулить эту >ситуацию? Это связано с тем, что iptables statefull firewall. И такое поведение --- вполне нормальное. К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table. Возможно при использовании ключа -F он это делает, но проверить не могу.
- Iptables не обрывает соединение. И должен ли?, Александр Лурье, 16:33 , 03-Сен-04 (2)
>К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table. >Возможно при использовании ключа -F он это делает, но проверить не >могу. -F этого не делает. К сожалению, из исходного письма не видно, какие конкретно правила добавлялись для разрешения доступа, но если эти правила были такого вида: iptables -A FORWARD -i $int -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $int -p tcp --dport http -j ACCEPT и удалить последнее правило, то уже установленные соединения будут продолжать работать благодаря разрешению для пакетов, классифицированных как ESTABLISHED. Если удалить оба правила, то пакеты передаваться перестанут даже для уже установленных соединений.
|