July 11th, 2018

404

conntrack & accept

У меня тут прелюбопытнейшая задачка намечается:

есть iptables, которые фильтруют входящий на сервер трафик. Исходящий - свободно. Сервер разглядывает сетевое железо по SNMP. Правило в input (напомю, output пустой при policy accept):

-A INPUT -p udp -m udp --sport 161 --dport 0 -j ACCEPT

Ещё там (сверху) такое правило:

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

И вот проблема: приложение работает "почти". Иногда получает ответы, иногда нет.
И вторая проблема: счётчики для правила 'sport 161' - нулевые.

Это что, conntrack может не только принимать пакеты (с -j ACCEPT), но и дропать? Или я что-то не понимаю?