conntrack iptables

[Jacek Konieczny]

On Fri, Jun 24, 2005 at 01:50:31PM +0200, Karol Kreński wrote:
> Witam,
> 
> "Connection tracking is accomplished with the state option in iptables".
> Czy w poniższym (--state) używam obciążającego zasoby connection
> tracking? 

Jak najbardziej.

> Moduł ip_conntrack jest załadowany.

I to wystarczy. Możesz nie mieć żadnych regółek, ale jak tylko moduł
ip_conntrack jest załadowany (załaduje się nawet przy "iptables -t nat -L"),
to wydajność routera spada gdzieś o dwa rzędy wielkości.

> Wydaje mi się, że widziałem komentarze "Wolno Ci działa bo masz pewnie
> conntrack włączony". Jeżeli istnieje lżejsza wersja / jeżeli można
> wyłączyć connection tracking w iptables to jak powinna wyglądać poniższa
> reguła input?
> 
> # output rules
> /usr/sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 195.187.79.45 2>/dev/null

Jak używasz SNAT (maskarada, czy dowolny inny NAT), to musisz użyć
conntrack. Inaczej się nie da.

> # input rules
> /usr/sbin/iptables -A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT 2>/dev/null

To też bez conntrack nie ma sensu. Ale bez innych regółek też nie.
A zamiast tego, to do pozostałych regółek (tylko dotyczących tcp) można
dodawać "--syn". Albo nawet w tej "! --syn". Daje to dużo mniejsze
możliwości niż "-m state", ale nie wymaga ip_conntrack, co na mocno
obciążonym routerze (tysiące hostów i dziesiątki megabitów pasma do
obsłużenia) ma olbrzymie znaczenie.


Pozdrowienia,
	Jacek