Рейтинг темы:
  • 1 Голос(ов) - 5 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
Ошибка в iptables Debian 6 (Use conntrack instead.)
#1
Решил сконфигурить iptables на Debian 6.
Как положено, мануалы, поиск инфы, тесты, опять мануалы и так в цикле...

Все нормально сконфигурилось, все работает, но вот напрягает вывод консоли:

Код:
root@test1:/# /etc/init.d/iptables restart
iptables v1.4.16.3: Can't use -i with OUTPUT

Try `iptables -h' or 'iptables --help' for more information.
WARNING: The state match is obsolete. Use conntrack instead.
WARNING: The state match is obsolete. Use conntrack instead.

Кроет матом оно именно 2 строки правил:

Код:
iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

Но факт в том, что правила работают, на удивление:

Код:
5        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID,NEW tcp flags:0x12/0x12 reject-with tcp-reset
6        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW tcp flags:!0x17/0x02

но вывод при старте не дает мне покоя )

Прошу знающих людей помочь разобраться с сей задачей )
Ответ
#2
Ни кто не знает?
Я пошел по древнему правилу, работает, да и фиг с ним.
Но все рано, хотел бы получить консультацию )
Ответ
#3
замените -I на -A и проверьте.
у вас не работают сейчас эти правила.
Ответ
#4
если указываете -I INPUT то нужно писать порядковый номер строки, куда добавлять правило,
т.е. пример чтобы добавить в начало
iptables -I INPUT 1 -m conntrack --ctstate NEW -p tcp ! --syn -j DROP
Ответ
#5
Пробовал:

Код:
iptables -I INPUT 2 -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -I INPUT 3 -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

Вывод консоли не изменился.

Пробовал
Код:
iptables -A INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

Ситуация та же.

А в целом, как Вы думаете, такие правила полезны для машины с сервером?
Или толку мало и можно просто закомментить их нафиг?
Ответ
#6
ну тогда покажите весь список правил.
кстати, имхо, модуль conntrack для iptables v1.4.16.3 нужно дополнительно собирать.
покажите еше список по lsmod
Ответ
#7
Из лсмод, как я понимаю, интересовали эти строки:

Код:
xt_recent               5993  2
ipt_REJECT              1953  1
nf_conntrack_ipv4       9833  4
nf_defrag_ipv4          1139  1 nf_conntrack_ipv4
xt_conntrack            2407  4
nf_conntrack           46583  2 xt_conntrack,nf_conntrack_ipv4
xt_limit                1782  1
xt_tcpudp               2319  17
iptable_filter          2258  1
ip_tables              13915  1 iptable_filter
x_tables               12845  6 ip_tables,xt_tcpudp,xt_limit,xt_conntrack,ipt_REJECT,xt_recent
Весь список правил, не думаю что нужно обнародовать, так как, при закомментированных строках, которые выше приведены, не выводится ошибок.
Ответ


Возможно похожие темы ...
Тема Автор Ответы Просмотры Последний пост
  Debian 9 vs mysql ccc 3 3,345 05-05-2018, 09:57 PM
Последний пост: ccc
  oVirt(node) on debian xolseg 4 2,946 12-14-2015, 06:30 PM
Последний пост: xolseg
  Нужна помощь в БД + Debian Svk 4 2,563 01-20-2015, 09:51 PM
Последний пост: Fallen angel
  debian 7 geoip Bow 2 2,336 10-09-2014, 06:12 PM
Последний пост: Bow
  debian 7 wheezy amd64 desolator 4 2,679 01-14-2014, 10:31 PM
Последний пост: desolator
  debian 7 wheezy Meraklinx 3 1,995 01-10-2014, 06:00 AM
Последний пост: Deazer
  debian 7 wheezy lucera2 devillord 4 3,178 10-28-2013, 07:07 PM
Последний пост: devillord
  Debian против Ubuntu что лучше? Double 64 23,016 04-26-2013, 12:07 PM
Последний пост: L2CCCP
  ошибка вывод directSound v2.6 ("d") код ошибки: 88780078 Dementor 0 2,695 03-11-2013, 08:44 PM
Последний пост: Dementor
  Помогите поставить Web-сервер на Debian Tonchi 12 3,417 02-28-2013, 02:31 PM
Последний пост: Tonchi

Перейти к форуму:


Пользователи, просматривающие эту тему: 1 Гость(ей)