Возьмем следующую ситуацию:
По умолчанию
INPUT - ACCEPT
OUTPUT - ACCEPT
FORWARD - DROP
Добавляю пару правил, для конкретного IP
Теперь FORWARD - ACCEPT в обе стороны
Ну и POSTROUTING - MASQUERADE.
Запускаю аську и удаляю последние правила, разрешающие мне форвард и маскарад, но аська продолжает работать!
Не рвутся именно текущие сессии, если попробывать выйти из аськи, а потом снова зайти то уже никто никуда никого не пустит ...
Я так понимаю, что это связано с ip_conntraq? И как разрулить эту ситуацию?
>Я так понимаю, что это связано с ip_conntraq? И как разрулить эту
>ситуацию?Это связано с тем, что iptables statefull firewall. И такое поведение --- вполне нормальное.
К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table. Возможно при использовании ключа -F он это делает, но проверить не могу.
>К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table.
>Возможно при использовании ключа -F он это делает, но проверить не
>могу.-F этого не делает.
К сожалению, из исходного письма не видно, какие конкретно правила добавлялись для разрешения доступа, но если эти правила были такого вида:
iptables -A FORWARD -i $int -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $int -p tcp --dport http -j ACCEPTи удалить последнее правило, то уже установленные соединения будут продолжать работать благодаря разрешению для пакетов, классифицированных как ESTABLISHED. Если удалить оба правила, то пакеты передаваться перестанут даже для уже установленных соединений.