уничтожить запись в ip_conntrack чем?

0

0

Возможно ли уничтожить запись в /proc/net/ip_conntrack о каком либо запомненном там соединении?

Надо, что бы биллинг (на счетчиках iptables) отключал клиента сразу по истечении средств на счету. Он то отключает (удаляет все -j ACCEPT на клиента, а так как POLICY = DROP, то новые соединения более не инициируются), но так как в файрволе присутствует запись разрешать все соединения established,releated, то все существующие соединения от клиента продолжают работать.

ПРиходится принудительно писать временное правило -s client -j REJECT

Но на мой взгляд более правильным вариантом было бы удалить все запомненные conntrack соединения клиента из net/ip_conntrack

Это возможно сделать?

Ссылка

←	Проблема с настройкой маршрутизации

переброс с ppp0 (iptables) (+)

→

Попробовать написать скрипт который пропарсит твой файл (я думаю). Неужели нет другого способа?

Benjamin ★
(01.03.04 04:38:12 MSK)

Ответ на: комментарий от Benjamin 01.03.04 04:38:12 MSK

Не совсем понял мысль - какой файл нужно пропарсить?

anonymous
(01.03.04 09:02:35 MSK)

Ответ на: комментарий от anonymous 01.03.04 09:02:35 MSK

Перезапускай iptables, но лучше поменять, чтоб когда деньги кончились даже не было правила для него estableshed, related. Иначе эту фигню можно обойти имея тачку в нете с внешним ip :-)) Удачи.

anonymous
(01.03.04 12:09:14 MSK)

Ссылка

А если поставить правило разрешающее established,related после правила для клиента?

slain ★
(01.03.04 13:04:05 MSK)

Ссылка

Ответ на: комментарий от anonymous 01.03.04 09:02:35 MSK

Ну я имею ввиду, что надо написать скрипт, который будет запускаться послетого, как в принято решение об отрубе клиента, он-то и будет парсить файл, выискивать блокированные айпишники и удалять эти строки...

Мне только интересно, неужели нету более элегантного решения?

Benjamin ★
(01.03.04 14:49:53 MSK)

Ссылка

Невнимательно прочитал. Сделай цепочку для пользователей, в которой
последнее правило всегда ДРОП для всех пользователей и вставляй/удаляй
в ней ACCEPT, а правило для established,related сделай после этой цепочки.
Например:

$fw -N users-out
$fw -A users-out -j DROP

$fw -A INPUT -m tcp -p tcp --dport 8080 -j users-out
$fw -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

а потом, если надо:

$fw -I users-out 1 -s 192.168.1.234 -j ACCEPT

или

$fw -D users-out -s 192.168.1.234 -j ACCEPT

slain ★
(01.03.04 15:40:19 MSK)

Ответ на: комментарий от slain 01.03.04 15:40:19 MSK

1. А разрешение работы пользователям разве должно находится в цепочке INPUT? Или это локальные пользователи?
2. Насколько я знаю, большинство файлов в /proc имеют смысл только при чтении и я сильно подозреваю, что удалять строки из /proc/net/ip_conntrack совершенно бессмысленно.
3. А так ли уж нужен этот ESTABLISHED,RELATED? Если уж очень хочется оптимизировать firewall - сделайте iptables -A FORWARD -i $INET_IFACE -o $LAN_IFACE -j ACCEPT первым правилом.

Gelin ★
(01.03.04 15:59:23 MSK)

Ответ на: комментарий от Gelin 01.03.04 15:59:23 MSK

> А разрешение работы пользователям разве должно находится в цепочке INPUT?

Это для примера, можно и в любой другой.

slain ★
(01.03.04 16:03:10 MSK)

Ссылка

Ответ на: комментарий от Gelin 01.03.04 15:59:23 MSK

Я так вообще уже склоняюсь к мысли о том, чтобы перефигачить исходник IPTABLES, по крайней мере изначально меня неустраивало то, что прога сама форматирует кол-во скачанных кб (Kb, Mb, Gb, etc), пусть сама прога напрямую работает с БД, и все такое...

Benjamin ★
(01.03.04 16:43:08 MSK)