Anton Gorlov написал(а) к Michael Dukelsky в Apr 19 16:11:12 по местному времени:

Привет Michael!

09 апр 19 года (а было тогда 17:50)
Michael Dukelsky в своем письме к All писал:

MD> Привет, All!

MD> В iptables есть ветка forward_int. В частности, в этой ветке есть
MD> строчки

....

MD> -A forward_int -s x.x.x.x/nn -o br0 -p tcp -m tcp --dport 443 -m
MD> conntrack --ctstate NEW -j ACCEPT -A forward_int -s x.x.x.x/nn -o br0
MD> -p udp -m udp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
MD> ...
MD> -A forward_int -j LOG --log-prefix "FWD-INT-ILL-ROUTING "
MD> --log-tcp-options --log-ip-options --log-uid

....

MD> При этом адреса SRC=y.y.y.y лежат в диапазоне x.x.x.x/nn, указанном в
MD> iptables.
MD> Что это значит? Почему пакеты просачиваются через фильтр?



Потому, что под
-A forward_int -s x.x.x.x/nn -o br0 -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT

попадают только пакеты со статусом "NEW",а все остальные соотвественно в

-A forward_int -j LOG --log-prefix "FWD-INT-ILL-ROUTING " --log-tcp-options --log-ip-options --log-uid
и дальше.




С уважением. Anton aka Stalker

Linux Registered User #386476
[#TEAM:*#] [#Злой СисОп_#] [*Нeavy Metal!*] [*_Усачи]
--- GoldED+/LNX 1.1.5-b20160322