История изменений
Исправление Pinkbyte, (текущая версия) :
Ну всякие там SYN, ACK, а уже установленные соединения идут мимо правил, чтобы не грузить CPU.
Нет. Любой пакет L3 проходит через включенный iptables. Всё. Точка. Другое дело, что как правило как можно выше(первым, вторым) ставят правило пропускать все пакеты в уже установленных соединениях, дабы не гонять многострадальный пакет по всем нижестоящим матчерам.
И да, в Linux есть conntrack на UDP и даже(о, боже ж ты мой!) на ICMP-пакеты. Хотя по логике вещей состояния у этих протоколов нет.
От така фигня :-)
Исходная версия Pinkbyte, :
Ну всякие там SYN, ACK, а уже установленные соединения идут мимо правил, чтобы не грузить CPU.
Нет. Любой пакет L3 проходит через включенный iptables. Всё. Точка. Другое дело, что как правило как можно выше(первым, вторым) ставят правило пропускать все пакеты в уже установленных соединениях.
И да, в Linux есть conntrack на UDP и даже(о, боже ж ты мой!) на ICMP-пакеты. Хотя по логике вещей состояния у этих протоколов нет.
От така фигня :-)