LINUX.ORG.RU
ФорумAdmin

related, established


0

0

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Default: DROP

не слишком ли жесткое это правило? на серваке со сквидом дропается заметное количество пакетов которые по идее являются ответными для web-запросов

Nov 18 09:48:50 proxy kernel: IN=eth1 OUT= MAC=00:1b:78:6e:88:bf:00:20:0a:b0:ed:cb:08:00 SRC=193.252.149.29 DST=192.168.1.20 LEN=415 TOS=0x00 PREC=0x00 TTL=45 ID=44656 DF PROTO=TCP SPT=80 DPT=59957 WINDOW=1716 RES=0x00 ACK PSH URGP=0

192.168.1.20 - внешний интерфейс прокси


У тебя, вообще, какие-нибудь пакеты ходят там :-)?

Может стоило не для всех прописывать? Типа, немного добавить, что-нибудь, вроде: -i,-o,-d,-s?

Lego_12239 ★★
()
Ответ на: комментарий от Lego_12239

1. ну да, всё работает
2. что для всех а что нет в данном случае решает сквид, а в инет все запросы только от него и идут, там нет смысла фильтровать.

просто напрягает, что в логе очень часто присутствуют сообщения айпитаблеса, которых по идее быть не должно с такими правилами. Единственное объяснение - некорректно прерванные сессии и несоответствие стандартам данныых пакетов.

или же всётаки related, established слишком жесткое правило?

sa22
() автор топика
Ответ на: комментарий от Lego_12239

да неначто смотреть,
related, established
+еще разрешения некоторые
+логирование
ну и под конец полиси - ДРОП

ладно, будем считать что пакеты заблудились:)

sa22
() автор топика
26 декабря 2007 г.
Ответ на: комментарий от sa22

Можно логирование настроить перед дроп,тогда будет понятно, что именно дропается.

Valmont ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin