Форум администраторов игровых серверов

Форум администраторов игровых серверов (https://forum.zone-game.info/TT.php)
-   Операционные системы / Operating systems (https://forum.zone-game.info/forumdisplay.php?f=32)
-   -   Ошибка в iptables Debian 6 (Use conntrack instead.) (https://forum.zone-game.info/showthread.php?t=27759)

Agares 25.03.2013 17:46
Ошибка в iptables Debian 6 (Use conntrack instead.)
 
Решил сконфигурить iptables на Debian 6.
Как положено, мануалы, поиск инфы, тесты, опять мануалы и так в цикле...

Все нормально сконфигурилось, все работает, но вот напрягает вывод консоли:

Код:
root@test1:/# /etc/init.d/iptables restart
iptables v1.4.16.3: Can't use -i with OUTPUT

Try `iptables -h' or 'iptables --help' for more information.
WARNING: The state match is obsolete. Use conntrack instead.
WARNING: The state match is obsolete. Use conntrack instead.
Кроет матом оно именно 2 строки правил:

Код:
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
Но факт в том, что правила работают, на удивление:

Код:
5        0    0 REJECT    tcp  --  *      *      0.0.0.0/0            0.0.0.0/0            ctstate INVALID,NEW tcp flags:0x12/0x12 reject-with tcp-reset
6        0    0 DROP      tcp  --  *      *      0.0.0.0/0            0.0.0.0/0            ctstate NEW tcp flags:!0x17/0x02
но вывод при старте не дает мне покоя )

Прошу знающих людей помочь разобраться с сей задачей )

Agares 02.04.2013 15:59
Re: Ошибка в iptables Debian 6 (Use conntrack instead.)
 
Ни кто не знает?
Я пошел по древнему правилу, работает, да и фиг с ним.
Но все рано, хотел бы получить консультацию )

Ne@Flax 12.04.2013 02:56
Re: Ошибка в iptables Debian 6 (Use conntrack instead.)
 
замените -I на -A и проверьте.
у вас не работают сейчас эти правила.

ReaM 12.04.2013 03:35
Re: Ошибка в iptables Debian 6 (Use conntrack instead.)
 
если указываете -I INPUT то нужно писать порядковый номер строки, куда добавлять правило,
т.е. пример чтобы добавить в начало
iptables -I INPUT 1 -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

Agares 12.04.2013 13:29
Re: Ошибка в iptables Debian 6 (Use conntrack instead.)
 
Пробовал:

Код:
iptables -I INPUT 2 -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -I INPUT 3 -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
Вывод консоли не изменился.

Пробовал
Код:
iptables -A INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
Ситуация та же.

А в целом, как Вы думаете, такие правила полезны для машины с сервером?
Или толку мало и можно просто закомментить их нафиг?

Ne@Flax 12.04.2013 15:31
Re: Ошибка в iptables Debian 6 (Use conntrack instead.)
 
ну тогда покажите весь список правил.
кстати, имхо, модуль conntrack для iptables v1.4.16.3 нужно дополнительно собирать.
покажите еше список по lsmod

Agares 13.04.2013 10:47
Re: Ошибка в iptables Debian 6 (Use conntrack instead.)
 
Из лсмод, как я понимаю, интересовали эти строки:

Код:
xt_recent              5993  2
ipt_REJECT              1953  1
nf_conntrack_ipv4      9833  4
nf_defrag_ipv4          1139  1 nf_conntrack_ipv4
xt_conntrack            2407  4
nf_conntrack          46583  2 xt_conntrack,nf_conntrack_ipv4
xt_limit                1782  1
xt_tcpudp              2319  17
iptable_filter          2258  1
ip_tables              13915  1 iptable_filter
x_tables              12845  6 ip_tables,xt_tcpudp,xt_limit,xt_conntrack,ipt_REJECT,xt_recent
Весь список правил, не думаю что нужно обнародовать, так как, при закомментированных строках, которые выше приведены, не выводится ошибок.


Текущее время: 05:40. Часовой пояс GMT +3.

Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot