conntrack iptables
l00natyk
majkl w op.pl
Pią, 24 Cze 2005, 15:05:08 CEST
On Fri, 24 Jun 2005 13:50:31 +0200
Karol Kreński <pldmimooh w inf.sgsp.edu.pl> wrote:
> "Connection tracking is accomplished with the state option in
> iptables". Czy w poniższym (--state) używam obciążającego zasoby
> connection tracking? Moduł ip_conntrack jest załadowany.
>
> Wydaje mi się, że widziałem komentarze "Wolno Ci działa bo masz pewnie
> conntrack włączony". Jeżeli istnieje lżejsza wersja / jeżeli można
> wyłączyć connection tracking w iptables to jak powinna wyglądać
> poniższa reguła input?
>
> # output rules
> /usr/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to
> 195.187.79.45 2>/dev/null /usr/sbin/iptables -A FORWARD -o eth0 -j
> ACCEPT 2>/dev/null
>
> # input rules
> /usr/sbin/iptables -A FORWARD -i eth0 -m state --state
> RELATED,ESTABLISHED -j ACCEPT 2>/dev/null
errr.... no ja się na tym kompletnie nie znam, ale conntrack to chyba ma
śledzić w pakietach nagłówki czyli właśnie to state to to uruchamia.
iptables sprawdza czy pakiety które ida należą do już nawiązanego
połączenia, nowego itp. No jak na mój gust to takie coś nie powinno
specjalnie obciążać. Nawet jak masz MTU duze to to sprawdza tylko
nagłówek. Chodzi o to zeby jakichś lewych pakietów nie wpuszczać na dany
port. Może na p100 to obciąża ale nie wydaje mi się.
Zaznaczam ze jestem niezbyt przytomny :)
-- Regards l00natyk
Mądra krytyka oświeca, głupia gasi. Fredro Aleksander
Więcej informacji o liście dyskusyjnej pld-users-pl