LINUX.ORG.RU
решено ФорумAdmin

«Подвисшее» правило conntrack

 , , ,


0

2

Столкнулся с нетривиальной ситуацией.

Провайдер - билайн со своим мерзким l2tp. Сервер на дебиане поднимает соединение и раздаёт интернеты дальше в сеть. Ещё внутри сети есть asterisk на котором настроен сип. Всё настроено и работает.

Однако, если l2tp-соединение падает, а asterisk в этот момент пытается достучаться до сервера, то в conntrack появляется правило с исходящим ip внутренней сети провайдера. И само не исчезает. В результате пакеты сипа после маскарадинга имеют source address вида 10.x.y.z, но уходят в интерфейс ppp0, на котором висит белый ip.

Вопрос - как сделать так, чтобы этой фигни больше не повторилось?

Откуда повляется это правило? У вас там, что без l2tp маршрут по умолчанию, что-ли через сеть билайн, а не ″unreachable″ или ″blackhole″?

В общем, запретите прохождение пактов, создающих эту запись в conntrack, либо с помощью маршрутов, либо с помощью правил в iptables.

mky ★★★★★ ()
Последнее исправление: mky (всего исправлений: 1)
Ответ на: комментарий от mky

Логично. Маршрут по умолчанию после падения l2tp идёт через билайн, хотя не должен.

Попробую его убрать и посмотрю, что в итоге получится.

koi-sama ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.