conntrack & debian (блокировка пользователей)

> в iptables я то добавляю запрещающее правило, это не проблемы, но

смысл в том что уже установленные соединения продолжают работать.

А что вам мешает средствами iptables резать пакеты уже установленных соединений?

Если я правильно понял, вы предлагаете юзать --state? но тогда вместо одного правила дропать по сорсу, надо будет указывать еще и несколько правил для разных состояний. К тому же при большом кол-ве пользователей кол-во правил в iptables будет большим, что явно будет сильнее сказываться на производительности, чем один раз порезать соединения и заблочить одним правилом или я не прав?

>Задача блокировка юзеров по минусовому балансу. в iptables я то добавляю запрещающее правило, это не проблемы, но смысл в том что уже установленные соединения продолжают работать

Не верю! :)

Либо ты явно указываешь -m state --state NEW, тогда просто убери эти параметры.

Либо ты добавляешь правило _после_ разрешающего, тогда естественно не подействует, вместо -A используй -I <таблица> <порядковый номер>

т.е. не таблица, а цепочка, естественно

ЗЫ. Для отладки таблиц хорошо использовать

1)-j LOG (c -m limit --limit=10/s, например)

2) watch -n 1 iptables -nvx -L <цепочки и таблицы по вкусу>

Добавляй запрещающее правило в начало цепочки и не указывай там никаких критериев состояния. Тогда по поводу conntrack париться не придется.

Ок, при возможности проверю.

З.Ы. 2Router: сенкс за инфу об отладки

Да действительно достаточно дропать без каких либо параметров и все. Сенкс. Вопрос решен.