Jump to content
Калькуляторы

iptables notrack

Добрый день форумчане. Подскажите по такому вопросу, на тазике бегают белые и натятся серые подсети, в ipset-ах allow_ip-сет *** белых адресов, allownat_ip соответственно для серых, хочу чтоб соединения белых адресов не попадали в коннтрак

сделал

-A FORWARD -i ens3f1 -o ens3f0 -m set --match-set allow_ip src -j ACCEPT
-A FORWARD -i ens3f0 -o ens3f1 -m set --match-set allow_ip dst -j ACCEPT
-A FORWARD -i ens3f1 -o ens3f0 -m set --match-set allownat_ip src -j ACCEPT

-A PREROUTING -m set --match-set allow_ip src,dst -j NOTRACK

но просматривая таблицу коннтракта вижу свой ип в ней
conntrack -L | grep 176.ххх.ххх.хх это так и должно быть, или я не то правило в raw написал?

Share this post


Link to post
Share on other sites

@kid79 

Я бы для начала правило -match-set allow_ip src,dst разбил на 2 отдельных, с src и dst.

А дальше вообще set нафиг убрать из правила, у вас IP адреса же каким-то блоком существуют, не отдельные же выданы клиентам?

Сделайте notrack для всего блока 176.хх.хх/yy

Share this post


Link to post
Share on other sites

похоже решение по подсетям верное
A PREROUTING -s 176.ххх.ххх.0/24 -i ens3f1 -j NOTRACK

conntrack -L | grep 176.ххх.ххх.хх  | wc -l показывает снижение количества записей в коннтарк

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.