On 09/27/2012 06:59 PM, alex alex wrote: > Am facut asta de mai multe ori; oricum, pentru ca regulile > erau in testing, le introduceam manual de fiecare data. > Banuiesc ca lusrurile se intimplau astfel: > 1/restartam firewall-ul standard, in vreme ce sursa trimitea permanent. > 2/ kernelul isi facea datoria, nefiind o regula si raspundea cu ICMP > unreach, > si IN PLUS punea in nf_conntrack un cache-entry > 3/ introduceam manual regula, dar era deja tirziu, regula era in cache; > nici macar iptables flush nu rezolva corect. pt amuzament: m-a lovit si pe mine ieri o faza din asta. lasasem o masina sa dea ping de undeva si reconfiguram firewall-ul. Si am tot bibilit la el vreo juma de ora fara sa pricep de ce nu face match. Dupa care am oprit si repornit ping-ul si surprize, surprize.. a mers
> Am verificat si secventa corecta este: oprit sursa; restart firewall, scris > reguli noi; > pornit sursa :-( > > Totusi, inca nu inteleg logica dupa care doar primele pachete creaza entry > nou cu match; > ma gindesc ca era mai bine sa matchuiasca de cite ori putea si * sa > instaleze in nf_cache* > daca entry-ul ar fi fost diferit. Macar o optiune prin care sa "golesc" > cache-ul sa fie (poate > ca este dar nu o stiu eu...) exista. se cheama conntrack-utils <http://conntrack-tools.netfilter.org/>. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
