ситуация такая - создал правило в iptables (версия 1.3.1):
-j ROUTE --oif eth2 --continue
Все работает (ну не совсем, я так понял, что реально выходной интерфейс меняется потом, так как в следующих цепочках по правилам нового выходного интерфейса не сработает - но это ладно)
Затем убиваю правило - но вижу, что трафик все-равно идет по старому правилу.
Такое впечатление, что правила кешируются. Все это проходит минут через 10-15.. Т.е. новые правила по маршруту начинают работать.
Вот вопрос возник - где отменить кеширование правил, или как дать сигнал на считывание новых правил.
Я подозреваю, что это относится лишь к цели ROUTE - и видимо копать нужно в ядре... Но все-таки может кто сталкивался с этим ?
чтение ip-sysctl.txt ничего не дало..:(
Спасибы.
Дополнение:
Более ближайший разбор полетов привел к тому, что кешируется правило SNAT в цепочке POSTROUTING -t nat
при убивании данного правила по tcpdump вижу , что это правило еще работает. :(
>Дополнение:
>Более ближайший разбор полетов привел к тому, что кешируется правило SNAT в
>цепочке POSTROUTING -t nat
>при убивании данного правила по tcpdump вижу , что это правило еще
>работает. :(
service iptables restart
Немного не понял.. что за service ?
ОС slackware Linux
ядро 2.4.30
>Немного не понял.. что за service ?
>ОС slackware Linux
>ядро 2.4.30
Понял, что с модулем -m comment такое происходит.
Если в правиле присутствует комментарий, то оно почему-то после удаления продолжает действовать некоторое непонятное время.
Придется комментарий убрать.
Ну вроде разобрался:
это баг iptables
При удалении правила, если оно удалается не по номеру, а по параметрам, то из листинга оно удаляется, а вот видимо из памяти нет и продолжает работать некоторое время.
Это у меня через раз, т.е. первый раз удаляется нормально, а второй раз уже нет.
Поставил новую версию iptables 1.3.4 - тоже самое.