Возьмем следующую ситуацию:
По умолчанию
INPUT - ACCEPT
OUTPUT - ACCEPT
FORWARD - DROP
Добавляю пару правил, для конкретного IP
Теперь FORWARD - ACCEPT в обе стороны
Ну и POSTROUTING - MASQUERADE.
Запускаю аську и удаляю последние правила, разрешающие мне форвард и маскарад, но аська продолжает работать!
Не рвутся именно текущие сессии, если попробывать выйти из аськи, а потом снова зайти то уже никто никуда никого не пустит ...
Я так понимаю, что это связано с ip_conntraq? И как разрулить эту ситуацию?

• Iptables не обрывает соединение. И должен ли?,Xela, 10:40 , 03-Сен-04
  • Iptables не обрывает соединение. И должен ли?,Александр Лурье, 16:33 , 03-Сен-04

>Я так понимаю, что это связано с ip_conntraq? И как разрулить эту
>ситуацию?

Это связано с тем, что iptables statefull firewall. И такое поведение --- вполне нормальное.

К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table. Возможно при использовании ключа -F он это делает, но проверить не могу.

>К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table.
>Возможно при использовании ключа -F он это делает, но проверить не
>могу.

-F этого не делает.

К сожалению, из исходного письма не видно, какие конкретно правила добавлялись для разрешения доступа, но если эти правила были такого вида:
iptables -A FORWARD -i $int -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $int -p tcp --dport http -j ACCEPT

и удалить последнее правило, то уже установленные соединения будут продолжать работать благодаря разрешению для пакетов, классифицированных как ESTABLISHED. Если удалить оба правила, то пакеты передаваться перестанут даже для уже установленных соединений.