Debian etch

Пытаюсь снять чуток нагрузки со шлюза, путем отключения слежения состояния пакетов, пишу команду:
iptables -t raw -I PREROUTING -d ! 10.0.0.0/8 -j NOTRACK

В FROWARD'е делаю проверку:
iptables -t filter -I FORWARD -m state --state UNTRACKED -j LOG
Сыпит в лог что мама не горюй.

А так в FROWARD'е делаю:
iptables -t filter -I FORWARD -m state --state NEW -j LOG
Не сыпит ничего - значит NOTRACK работает как надо.

НО! /proc/net/ip_conntrack все-равно полон строчек:
tcp      6 170464 ESTABLISHED src=10.10.10.49 dst=89.232.126.111 sport=56085 dport=4987 packets=53990 bytes=41071003 [UNREPLIED] src=89.232.126.111 dst=10.10.10.49 sport=4987 dport=56085 packets=0 bytes=...

Чего делаю не так?

• Странности с NOTRACK в iptables,Rom1, 08:19 , 20-Дек-08
  • Странности с NOTRACK в iptables,s_dog, 10:43 , 20-Дек-08
    • Странности с NOTRACK в iptables,Rom1, 11:11 , 20-Дек-08
  • Странности с NOTRACK в iptables,ZhAN, 22:04 , 10-Ноя-09

После перезагрузки системы эти строчки пропали из ip_conntrack. Странно что они не ушли после того как включили NOTRACK

>После перезагрузки системы эти строчки пропали из ip_conntrack. Странно что они не
>ушли после того как включили NOTRACK

репорти баг!

>репорти баг!

Да, отрепОртил уже.

> Странно что они не ушли после того как включили NOTRACK

Включение NOTRACK действует лишь на новые соединения. Когда ты его включил в памяти уже были "оттреканые" соединения. Откуда им знать что ты перестал трекать новые?

Короче они бы и сами исчезли через заданные таймауты (для установленных соединений в линуксе по-умолчанию таймаут 5 (!) суток).