https://www.opennet.me/openforum/vsluhforumID10/5315.html столкнулся с такой непоняткой:<br>документация утверждает, что надо так:<br>iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP<br>обычные люди про conntrack не знают и привыкли так:<br>iptables -A INPUT -m state --state NEW -p tcp ! SYN,RST,ACK,FIN SYN -j DROP<br>в общем и целом оно работает, НО! через ~ минуту бездействия подвисает и потом приходится ждать, пока дойдёт новое соединение и сессия отвиснет.<br>может и не отвиснуть.<br>я это дело залогировал и увидел ACK PSH:<br>SRC=xx.xx.xx.xx DST=xx.xx.xx.xx LEN=100 TOS=0x00 PREC=0x20 TTL=57 ID=36151 DF PROTO=TCP SPT=55967 DPT=39512 WINDOW=2480 RES=0x00 ACK PSH URGP=0<br><br>что странно ^^<br><br>пробовал так: ! SYN,RST,ACK,FIN SYN<br>и PSH подставлял, SYN SYN пробовал и т.д., оно всё-равно в логах про них говорит<br>конкретно даже вот это правило:<br>-A INPUT -p tcp -m state --state NEW ! --tcp-flags SYN,RST,ACK,FIN,PSH SYN -j LOG --log-level DEBUG --log-prefix="NEW packets: "<br>в логи выводит вышеуказанную строку про ACK PSH<br>флаг PSH он вообще не из NEW, по идее, он про https://www.opennet.me/openforum/vsluhforumID10/5315.html#6 Mon, 16 Mar 2015 06:38:30 GMT &gt; iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j <br>&gt; DROP <br>&gt; обычные люди про conntrack не знают и привыкли так: <br>&gt; iptables -A INPUT -m state --state NEW -p tcp ! SYN,RST,ACK,FIN SYN <br>&gt; -j DROP <br>&gt; в общем и целом оно работает<br><br>Это совершенно разные подходы. Первый использует таблицу conntrack ядра для определения статуса соединения. Второй использует напрямую флаги в tcp пакете. Первый вариант не будет работать, если, например, выключен conntrack. Второй вариант будет работать всегда. Выберите какой-то один подход. Либо с использованием tcp флагов, либо с использованием conntrack.<br><br>Пример для conntrack: <br>-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT<br>-A INPUT -m conntrack --ctstate INVALID -j DROP<br>-A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT<br><br><br> https://www.opennet.me/openforum/vsluhforumID10/5315.html#5 Sun, 15 Mar 2015 14:42:52 GMT &gt; У меня <br>&gt; http://www.opennet.ru/openforum/vsluhforumID1/93014.html#1 <br>&gt; http://www.opennet.ru/openforum/vsluhforumID10/4463.html#16 <br>&gt; были smpt+pop3 на аналоговых модемах или через "vpn"-ы на виндовых клиентах.<br><br>ну понятно, в общем крутить таймауты<br>спасибо<br><br>зы: кстати, так как-то проще: sysctl -a &#124;grep -E conntrack.+?timeout<br> https://www.opennet.me/openforum/vsluhforumID10/5315.html#4 Sun, 15 Mar 2015 07:48:07 GMT &gt; столкнулся с такой непоняткой: <br>&gt; документация утверждает, что надо так: <br>&gt; iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP<br>&gt; обычные люди про conntrack не знают и привыкли так: <br>&gt; iptables -A INPUT -m state --state NEW<br><br>Обычные люди и про iptables не слышали.<br><br>И да, есть многое на свете, друг Горацио, что не записано http://www.opennet.ru/openforum/vsluhforumID10/5303.html в man iptables<br><br>&gt; в общем и целом оно работает, НО! через ~ минуту бездействия подвисает <br>&gt; и потом приходится ждать, пока дойдёт новое соединение и сессия отвиснет. <br>&gt; ssh криво открывает новые соединения или что?<br>&gt; но по логам там и фтп такой же косяк ловит, правда это<br><br>У меня <br>http://www.opennet.ru/openforum/vsluhforumID1/93014.html#1<br>http://www.opennet.ru/openforum/vsluhforumID10/4463.html#16<br>были smpt+pop3 на аналоговых модемах или через "vpn"-ы на виндовых клиентах.<br> https://www.opennet.me/openforum/vsluhforumID10/5315.html#3 Sat, 14 Mar 2015 22:47:32 GMT &gt; на: <br><br>Тут не учебный сайт.<br> https://www.opennet.me/openforum/vsluhforumID10/5315.html#2 Sat, 14 Mar 2015 21:19:58 GMT &gt;&gt; обычные люди про conntrack не знают и привыкли так: <br>&gt; Обычные люди юзают контрак для отладки, потом парсят и делают правила bpf <br>&gt; И ваще, айпистол уже отстой nftables рулит!<br><br>как iptables может быть отстоем, а nftables - нет, когда они оба всего-лишь интерфейсы для управления netfilter, который и есть сам файрволл?<br><br>причём тут bpf какой-то левый, когда про iptables спрашивают... непонятно<br>хоть пассивный FTP проверял в этом bpf?<br><br>&gt;&gt; в общем и целом оно работает, НО! через ~ минуту бездействия подвисает <br>&gt; Лечу по фото, дорого. Весь файервол показывай.<br><br>на:<br>*filter<br>:INPUT DROP [0:0]<br>:FORWARD DROP [0:0]<br>:OUTPUT DROP [0:0]<br><br>-P FORWARD DROP<br>-P INPUT DROP<br>-P OUTPUT DROP<br><br>-A INPUT -i lo -j ACCEPT<br>-A OUTPUT -o lo -j ACCEPT<br><br>-A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j LOG --log-level DEBUG --log-prefix="NEW packets: "<br>-A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP<br>-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT<br><br>-A INPUT -j ACCEPT<br>-A OUTPUT -j ACCEPT https://www.opennet.me/openforum/vsluhforumID10/5315.html#1 Sat, 14 Mar 2015 21:18:18 GMT &gt; обычные люди про conntrack не знают и привыкли так:<br><br>Обычные люди юзают контрак для отладки, потом парсят и делают правила bpf <br><br>И ваще, айпистол уже отстой nftables рулит! <br><br>&gt; в общем и целом оно работает, НО! через ~ минуту бездействия подвисает <br><br>Лечу по фото, дорого. Весь файервол показывай. <br><br><br>