Ошибка в iptables Debian 6 (Use conntrack instead.)

[Agares]

Решил сконфигурить iptables на Debian 6.
Как положено, мануалы, поиск инфы, тесты, опять мануалы и так в цикле...

Все нормально сконфигурилось, все работает, но вот напрягает вывод консоли:

Код:

root@test1:/# /etc/init.d/iptables restart
iptables v1.4.16.3: Can't use -i with OUTPUT

Try `iptables -h' or 'iptables --help' for more information.
WARNING: The state match is obsolete. Use conntrack instead.
WARNING: The state match is obsolete. Use conntrack instead.

Кроет матом оно именно 2 строки правил:

Код:

iptables -I INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -I INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

Но факт в том, что правила работают, на удивление:

Код:

5        0     0 REJECT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate INVALID,NEW tcp flags:0x12/0x12 reject-with tcp-reset
6        0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            ctstate NEW tcp flags:!0x17/0x02

но вывод при старте не дает мне покоя )

Прошу знающих людей помочь разобраться с сей задачей )

[Agares]

Ни кто не знает?
Я пошел по древнему правилу, работает, да и фиг с ним.
Но все рано, хотел бы получить консультацию )

[Ne@Flax]

замените -I на -A и проверьте.
у вас не работают сейчас эти правила.

[ReaM]

если указываете -I INPUT то нужно писать порядковый номер строки, куда добавлять правило,
т.е. пример чтобы добавить в начало
iptables -I INPUT 1 -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

[Agares]

Пробовал:

Код:

iptables -I INPUT 2 -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -I INPUT 3 -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

Вывод консоли не изменился.

Пробовал

Код:

iptables -A INPUT -m conntrack --ctstate NEW,INVALID -p tcp --tcp-flags SYN,ACK SYN,ACK -j REJECT --reject-with tcp-reset

iptables -A INPUT -m conntrack --ctstate NEW -p tcp ! --syn -j DROP

Ситуация та же.

А в целом, как Вы думаете, такие правила полезны для машины с сервером?
Или толку мало и можно просто закомментить их нафиг?

[Ne@Flax]

ну тогда покажите весь список правил.
кстати, имхо, модуль conntrack для iptables v1.4.16.3 нужно дополнительно собирать.
покажите еше список по lsmod

[Agares]

Из лсмод, как я понимаю, интересовали эти строки:

Код:

xt_recent               5993  2
ipt_REJECT              1953  1
nf_conntrack_ipv4       9833  4
nf_defrag_ipv4          1139  1 nf_conntrack_ipv4
xt_conntrack            2407  4
nf_conntrack           46583  2 xt_conntrack,nf_conntrack_ipv4
xt_limit                1782  1
xt_tcpudp               2319  17
iptable_filter          2258  1
ip_tables              13915  1 iptable_filter
x_tables               12845  6 ip_tables,xt_tcpudp,xt_limit,xt_conntrack,ipt_REJECT,xt_recent

Весь список правил, не думаю что нужно обнародовать, так как, при закомментированных строках, которые выше приведены, не выводится ошибок.