ne-vlezay80 Posted March 15, 2021 Posted March 15, 2021 Такая проблема: Есть некий сервер с arch linux, через который осуществляется выход в интернет. Если в iptables прописать: iptables -A FORWARD -p udp --dport 33 -d 198.19.255.255 -m string --string "aaaaaaaa" --algo bm -j DROP Потом из машины попытаться отправить udp пакет, в котором есть aaaaaaaa на 198.19.255.255 и порт 33, то связь с сервером теряется и сервер перестаёт на что-либо реагировать. Подозреваю что он уходит в kernel panic от этого правила. Попытался воспроизвести на машине с ядром 5.10.3, там всё нормально. На сервере ядро: 5.11.6-arch1-1 Так что, возможно в этой версии ядра сломали возможность фильтрации по содержимому трафика в linux. Так что, следует воздержаться от использования ядер 5.11.x на коммутаторах и маршрутизаторах. https://bugzilla.kernel.org/show_bug.cgi?id=211911 https://bugzilla.kernel.org/show_bug.cgi?id=212283 Вставить ник Quote
pppoetest Posted March 16, 2021 Posted March 16, 2021 14 часов назад, ne-vlezay80 сказал: сервер перестаёт на что-либо реагировать. Подозреваю что он уходит в kernel panic от этого правила. netconsole? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.