- Обычные люди юзают контрак для отладки, потом парсят и делают правила bpf И ваще, pavlinux (ok), 00:18 , 15-Мрт-15 (1) –2
> обычные люди про conntrack не знают и привыкли так:Обычные люди юзают контрак для отладки, потом парсят и делают правила bpf И ваще, айпистол уже отстой nftables рулит! > в общем и целом оно работает, НО! через ~ минуту бездействия подвисает Лечу по фото, дорого. Весь файервол показывай.
- Обычные люди и про iptables не слышали И да, есть многое на свете, друг Горацио,, Andrey Mitrofanov (?), 10:48 , 15-Мрт-15 (4)
- Это совершенно разные подходы Первый использует таблицу conntrack ядра для опре, Алексей (??), 09:38 , 16-Мрт-15 (6)
> iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j > DROP > обычные люди про conntrack не знают и привыкли так: > iptables -A INPUT -m state --state NEW -p tcp ! SYN,RST,ACK,FIN SYN > -j DROP > в общем и целом оно работаетЭто совершенно разные подходы. Первый использует таблицу conntrack ядра для определения статуса соединения. Второй использует напрямую флаги в tcp пакете. Первый вариант не будет работать, если, например, выключен conntrack. Второй вариант будет работать всегда. Выберите какой-то один подход. Либо с использованием tcp флагов, либо с использованием conntrack. Пример для conntrack: -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
|