Здравствуйте уважаемые.
Посмотрите пож правильно ли я прописал вот эти правила:
1) iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 5 -j LOG --log-level debug --log-prefix "iptables logging"
2) iptables -I INPUT -p tcp --syn --dport 80 -j DROP -m connlimit --connlimit-above 5сначала прописал первое для того чтобы увидеть лог блокировок, затем само правило блокировок.
в /etc/syslog.conf прописал:
kern.=debug -/var/log/messagesВ /vsr/log/messages за пару часов увидел только 2 записи:
Jun 17 12:01:03 kernel: ipt_connlimit: Oops: invalid ct state ?
Jun 17 12:01:03 kernel: ipt_connlimit: Oops: invalid ct state ?Скажите пож что они означают?
Записей с префиксом iptables logging нет. Почему? Может не работает правило?
Заранее спасибо.P.S. iptables пропатчен patch-o-matic-ng
уже наблюдаю много записейJun 17 13:01:08 vnode976 kernel: ipt_connlimit: Oops: invalid ct state ?
Jun 17 13:01:46 vnode976 last message repeated 6 times
Jun 17 13:01:48 vnode976 last message repeated 10 times
Jun 17 13:02:47 vnode976 last message repeated 16 times
Jun 17 13:02:49 vnode976 last message repeated 16 times
Jun 17 13:02:56 vnode976 last message repeated 4 times
уже наблюдаю много записейJun 17 13:01:08 vnode976 kernel: ipt_connlimit: Oops: invalid ct state ?
Jun 17 13:01:46 vnode976 last message repeated 6 times
Jun 17 13:01:48 vnode976 last message repeated 10 times
Jun 17 13:02:47 vnode976 last message repeated 16 times
Jun 17 13:02:49 vnode976 last message repeated 16 times
Jun 17 13:02:56 vnode976 last message repeated 4 timesпомогите пож. гугл молчит.
Ничего страшного в данных записях нет, это просто на порт который ограничивается с помощью модуля connlimit пришел сетевой пакет с неверными параметрами флагов, для того, чтобы избавиться от подобного рода записей в логах вам необходимо добавить такое правило в iptables -A INPUT -m state --state INVALID -j DROP