Michael Dukelsky написал(а) к Anton Gorlov в Apr 19 18:34:18 по местному времени:

Привет, Anton!

10 April 2019 16:11, Anton Gorlov послал(а) письмо к Michael Dukelsky:

MD>> В iptables есть ветка forward_int. В частности, в этой ветке есть
MD>> строчки

AG> ....

MD>> -A forward_int -s x.x.x.x/nn -o br0 -p tcp -m tcp --dport 443 -m
MD>> conntrack --ctstate NEW -j ACCEPT -A forward_int -s x.x.x.x/nn -o
MD>> br0 -p udp -m udp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
MD>> ...
MD>> -A forward_int -j LOG --log-prefix "FWD-INT-ILL-ROUTING "
MD>> --log-tcp-options --log-ip-options --log-uid

AG> ....

MD>> При этом адреса SRC=y.y.y.y лежат в диапазоне x.x.x.x/nn,
MD>> указанном в iptables. Что это значит? Почему пакеты просачиваются
MD>> через фильтр?

AG> Потому, что под
AG> -A forward_int -s x.x.x.x/nn -o br0 -p tcp -m tcp --dport 443 -m
AG> conntrack --ctstate NEW -j ACCEPT

AG> попадают только пакеты со статусом "NEW",а все остальные соотвественно
AG> в

AG> -A forward_int -j LOG --log-prefix "FWD-INT-ILL-ROUTING "
AG> --log-tcp-options --log-ip-options --log-uid и дальше.

Все остальные по идее должны быть со статусом ESTABLISНED и должны соответствовать одной из первых двух строчек, которые были в исходном письме. Разве нет?

Желаю успехов, Anton!
За сим откланиваюсь, Michael.

... node (at) f1042 (dot) ru
--- GoldED+/LNX 1.1.5-b20170303