conntrack iptables

[Karol Kreński]

Witam,

"Connection tracking is accomplished with the state option in iptables".
Czy w poniższym (--state) używam obciążającego zasoby connection
tracking? Moduł ip_conntrack jest załadowany.

Wydaje mi się, że widziałem komentarze "Wolno Ci działa bo masz pewnie
conntrack włączony". Jeżeli istnieje lżejsza wersja / jeżeli można
wyłączyć connection tracking w iptables to jak powinna wyglądać poniższa
reguła input?

# output rules
/usr/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 195.187.79.45 2>/dev/null
/usr/sbin/iptables -A FORWARD -o eth0 -j ACCEPT 2>/dev/null

# input rules
/usr/sbin/iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 2>/dev/null




Jako, że tematyka podobna to jeszcze jedno pytanko:

Czy można wchodzić (wystarczy ssh) do NATowanej sieci nie będąc adminem
firewalla tej sieci (np. ASTER)? Pewnie coś na wzór demona w mojej sieci
-> klient z NATowanej sieci zaczyna rano całodzienną sesję -> mój demon
przesyła klientowi moje polecenia. Jakie narzędzia są do tego potrzebne?

Karol