Jump to content

iptables notrack

kid79
 Share

Recommended Posts

kid79

kid79

Posted
Posted

Добрый день форумчане. Подскажите по такому вопросу, на тазике бегают белые и натятся серые подсети, в ipset-ах allow_ip-сет *** белых адресов, allownat_ip соответственно для серых, хочу чтоб соединения белых адресов не попадали в коннтрак

сделал

-A FORWARD -i ens3f1 -o ens3f0 -m set --match-set allow_ip src -j ACCEPT
-A FORWARD -i ens3f0 -o ens3f1 -m set --match-set allow_ip dst -j ACCEPT
-A FORWARD -i ens3f1 -o ens3f0 -m set --match-set allownat_ip src -j ACCEPT

-A PREROUTING -m set --match-set allow_ip src,dst -j NOTRACK

но просматривая таблицу коннтракта вижу свой ип в ней
conntrack -L | grep 176.ххх.ххх.хх это так и должно быть, или я не то правило в raw написал?

kayot

kayot

Posted
Posted

@kid79 

Я бы для начала правило -match-set allow_ip src,dst разбил на 2 отдельных, с src и dst.

А дальше вообще set нафиг убрать из правила, у вас IP адреса же каким-то блоком существуют, не отдельные же выданы клиентам?

Сделайте notrack для всего блока 176.хх.хх/yy

kid79

kid79

Posted
  • Author
Posted

похоже решение по подсетям верное
A PREROUTING -s 176.ххх.ххх.0/24 -i ens3f1 -j NOTRACK

conntrack -L | grep 176.ххх.ххх.хх  | wc -l показывает снижение количества записей в коннтарк

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.