amarao (amarao_san) wrote,
amarao
amarao_san
Category:

conntrack & accept

У меня тут прелюбопытнейшая задачка намечается:

есть iptables, которые фильтруют входящий на сервер трафик. Исходящий - свободно. Сервер разглядывает сетевое железо по SNMP. Правило в input (напомю, output пустой при policy accept):

-A INPUT -p udp -m udp --sport 161 --dport 0 -j ACCEPT

Ещё там (сверху) такое правило:

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

И вот проблема: приложение работает "почти". Иногда получает ответы, иногда нет.
И вторая проблема: счётчики для правила 'sport 161' - нулевые.

Это что, conntrack может не только принимать пакеты (с -j ACCEPT), но и дропать? Или я что-то не понимаю?
Subscribe

  • systemd-networkd, netlink и arp флуд

    Нереально странный баг пофикшен с помощью eBPF затычки. Для меня большой неожиданностью является реакция на него.…

  • Rust soundness

    Каждый раз, когда я сталкиваюсь с маленькими "но" в Rust'е, это ощущение тщательной продуманности. Например, простейшие fold-функции для итераторов:…

  • still_ntp

    В ходе локального мозгового штурма у меня родилась суперидея. Надо написать ntp сервер, который может отдавать указанную дату. Т.е. сказали при…

  • Post a new comment

    Error

    switch
    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
    Help
  • 7 comments