форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Iptables не обрывает соединение. И должен ли?"
Сообщение от Gimily on 01-Сен-04, 18:15  (MSK)
Возьмем следующую ситуацию: По умолчанию INPUT - ACCEPT OUTPUT - ACCEPT FORWARD - DROP Добавляю пару правил, для конкретного IP Теперь FORWARD - ACCEPT в обе стороны Ну и POSTROUTING - MASQUERADE. Запускаю аську и удаляю последние правила, разрешающие мне форвард и маскарад, но аська продолжает работать! Не рвутся именно текущие сессии, если попробывать выйти из аськи, а потом снова зайти то уже никто никуда никого не пустит ... Я так понимаю, что это связано с ip_conntraq? И как разрулить эту ситуацию?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Iptables не обрывает соединение. И должен ли?"
Сообщение от Xela (ok) on 03-Сен-04, 10:40  (MSK)
>Я так понимаю, что это связано с ip_conntraq? И как разрулить эту >ситуацию? Это связано с тем, что iptables statefull firewall. И такое поведение --- вполне нормальное. К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table. Возможно при использовании ключа -F он это делает, но проверить не могу.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Iptables не обрывает соединение. И должен ли?"
	Сообщение от Александр Лурье on 03-Сен-04, 16:33  (MSK)
	>К сожалению, мне не удалось найти способ заставить iptables сбрасывать state table. >Возможно при использовании ключа -F он это делает, но проверить не >могу. -F этого не делает. К сожалению, из исходного письма не видно, какие конкретно правила добавлялись для разрешения доступа, но если эти правила были такого вида: iptables -A FORWARD -i $int -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i $int -p tcp --dport http -j ACCEPT и удалить последнее правило, то уже установленные соединения будут продолжать работать благодаря разрешению для пакетов, классифицированных как ESTABLISHED. Если удалить оба правила, то пакеты передаваться перестанут даже для уже установленных соединений.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.