LINUX.ORG.RU
ФорумAdmin

iptables не применяеся к уже установленным соединениям


0

0

Допустим есть такие правила :

iptables -L -n -t nat -v Chain PREROUTING (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * * 10.1.1.253 0.0.0.0/0

Т.е всем запрещено, кроме опеделеннго ip-шника(10.1.1.253) . Далее клиент с этим ip-шником устанвалвает соединение иначиает качать большой файл . В определенный момент разрешающее правило удаляется для ip 10.1.1.253..После этого клиент не может устанвоить новое соединение, но старые прдолжают работать(докачивать) .. как эо исправить ? не кажется что пакеты со статусом ESTABLISHED не должны пропускаться , если стоит политика DROP, т.е причина не в этом ...

anonymous

Причем такое ощущение, что это работает через раз..то не работает, то работает

anonymous
()
Ответ на: комментарий от SlavikSS

>Используй iptables -t filter -A FORWARD ... А разница ? какая разница в какой таблице филтровать ..хоть и не рекомендуют филтровать в PREROUTING, но разницы по-моему нет ..

anonymous
()

Проблема в том что иногда получается так - клиент установил содинение и никакие манипуляции с iptables не могут их завершить. Может можно сбрасывать соединения как-то еще ?

anonymous
()
Ответ на: комментарий от anonymous

>какая разница в какой таблице филтровать ..хоть и не рекомендуют филтровать в PREROUTING, но разницы по-моему нет ..
Если нет разницы, то зачем тогда создали несколько таблиц?
В -t nat попадают первые пакеты, требующие соединения. Все следующие пакеты с этого соединения бегут через -t filter. Учим iptables!

>клиент установил содинение и никакие манипуляции с iptables не могут их завершить
cutter

SlavikSS ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.