LINUX.ORG.RU

История изменений

Исправление crypt, (текущая версия) :

теперь к моим словам о задротстве.

вот счетчики от прохождения одного (!) ICMP пакета по двум(!) правилам.

00302  2  168 setfib 1 ip from any to any tagged 1
00304  3  252 allow tag 1 icmp from x.x.x.x to any
00306  0    0 setfib 1 ip from any to any tagged 1
00308  0    0 allow log icmp from x.x.x.x to any

мы видим, что пакет почему-то кружится в файрволе.

allow tag и ставит метку и _прекращает_ его дальнейшее прохождение.

но пакет инжектируется в файрвол еще раз. срабатывает на setfib и _проходит_ дальше.

потом пакет инжектируется в файрвол еще раз(!). а теперь представь, что тебе такие кульбиты на сотне правил проверять.

и вы с IPR такие: а че?! переписать! не вижу проблем!

p.s.

от sysctl one_pass не зависит

p.p.s.

нужно еще раз сказать, что в iptables такой хрени нет?

Исправление crypt, :

теперь к моим словам о задротстве.

вот счетчики от прохождения одного (!) ICMP пакета по двум(!) правилам.

00302  2  168 setfib 1 ip from any to any tagged 1
00304  3  252 allow tag 1 icmp from x.x.x.x to any
00306  0    0 setfib 1 ip from any to any tagged 1
00308  0    0 allow log icmp from 10.10.10.208 to any

мы видим, что пакет почему-то кружится в файрволе.

allow tag и ставит метку и _прекращает_ его дальнейшее прохождение.

но пакет инжектируется в файрвол еще раз. срабатывает на setfib и _проходит_ дальше.

потом пакет инжектируется в файрвол еще раз(!). а теперь представь, что тебе такие кульбиты на сотне правил проверять.

и вы с IPR такие: а че?! переписать! не вижу проблем!

p.s.

от sysctl one_pass не зависит

p.p.s.

нужно еще раз сказать, что в iptables такой хрени нет?

Исходная версия crypt, :

теперь к моим словам о задротстве.

вот счетчики от прохождения одного (!) ICMP пакета по двум(!) правилам.

00302  2  168 setfib 1 ip from any to any tagged 1
00304  3  252 allow tag 1 icmp from x.x.x.x to any
00306  0    0 setfib 1 ip from any to any tagged 1
00308  0    0 allow log icmp from 10.10.10.208 to any

мы видим, что пакет почему-то кружится в файрволе.

allow tag и ставит метку и _прекращает_ его дальнейшее прохождение.

но пакет инжектируется в файрвол еще раз. срабатывает на setfib и _проходит_ дальше.

потом пакет инжектируется в файрвол еще раз(!). а теперь представь, что тебе такие кульбиты на сотне правил проверять.

и вы с IPR такие: а че?! переписать! не вижу проблем!

p.s.

нужно еще раз сказать, что в iptables такой хрени нет?