disappointed Posted October 7, 2012 (edited) Решил оптимизировать iptables на бордюре. В том числе неразбериху в *raw, связанную с применением -j NOTRACK, который приводит к периодическим приколам, когда допустим делаешь "telnet айпи_соседа 179" через новую стыковую сеть и долго догоняешь почему нет коннекта. Вписывать и вести отдельно кучу адресов интерфейсов бордера (неважно ipset или отдельными парвилами) чтобы разрешить трекинг к ним - лень. Убирать из цепочки INPUT привычное "RELATED, ESTABLISHED -j ACCPET" и сооружать stateless фаервол, тоже не хочется (напрягает, что придётся сделать политику на INPUT по умолчанию ACCEPT, а TCP закрывать костылём через --syn). А как вы разруливаете проблему с локальным statefull в iptables и прибиванием conntrack-а для транзитных пакетов на бордерах? Edited October 7, 2012 by disappointed Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 8, 2012 у вас на нём NAT для абонентов крутится? если нет, то одназначно делать stateless-фаервол Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
disappointed Posted October 8, 2012 (edited) Есть нат на одну внешнюю серую сетку, для неё conntrack я оставил. Ну допустим в стэйтлесс режиме для TCP я ставлю последним правилом, после разрешающих -A INPUT -m tcp -p tcp --syn -j DROP. С этим понятно. А как поступать с UDP? На машине работает snmpd, получается он может быть подверджен флуду извне. Или под каждый такой сервис ваять правило с исключением вроде -A INPUT -p udp -m udp ! -s сеть_серваков -j DROP Edited October 8, 2012 by disappointed Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
MMM Posted October 8, 2012 сделать цепочку на snmp пакеты и в ней уже рулить разрешенные-запрещенные подсети. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Abram Posted October 9, 2012 Есть нат на одну внешнюю серую сетку, для неё conntrack я оставил. -j NOTRACK? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
disappointed Posted October 9, 2012 Есть нат на одну внешнюю серую сетку, для неё conntrack я оставил. -j NOTRACK? Нет, для этой сетки как раз таки наоборот -j ACCEPT Вообщем сообразил я фаервол без коннтрака, непривычно но полёт нормальный. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 9, 2012 Есть нат на одну внешнюю серую сетку, для неё conntrack я оставил. -j NOTRACK? Нет, для этой сетки как раз таки наоборот -j ACCEPT Вообщем сообразил я фаервол без коннтрака, непривычно но полёт нормальный. изящность vs безопасность vs производительность - всегда приходится балансировать между ними Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
