Доброго времени.
Просветите, пожалуйста, по поводу таймаутов в conntrack: если соединение необходимо закрыть по таймауту, при удалении из conntrack, оно также закрывается и на системе?
Возможно не явно изложил суть вопроса, поэтому на примере:
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established например, 10 секунд, а
net.ipv4.tcp_keepalive_time больше чем в conntrack
Так вот, если я правильно понимаю, на уровне conntrack нет такого понятия как keepalive, и через 10 секунд неактивности соединение уничтожится.
Правильно ли я понимаю, что убиваясь в conntack, оно прибьется и на системе, т.е. от не conntrack таймаутов (если они больше чем в conntrack), смысла уже не будет?

• Linux: таймауты соединий и conntrack,Andrey Mitrofanov, 18:15 , 09-Фев-12

> Правильно ли я понимаю, что убиваясь в conntack, оно прибьется и на
> системе, т.е. от не conntrack таймаутов (если они больше чем в
> conntrack), смысла уже не будет?

Коннтрак по своим таймаутам удалит соединение из _своей таблицы. Насколько я ничего не понимаю, никаких других _непосредственных последствий (RST или там FIN пакетов) не будет.

_Опросредованно, если файервол состояние смотрит, то удалённое из коннтрака соединение "перестанет" быть ESTABLISHED и перестанет "проходить" ч-з файервол. Отвалится и на сервере, и на клиенте по таймауту/не ответу (ну, если там обычный DROP~~).