linux user group brescia

2009/5/18 Carlo Bertoldi <mcbain a tiscali.it>

>
> Ci ho perso una mezzoretta, fra ricerche in /proc/sys/net e su google,
> ma non sono riuscito a trovare molto relativamente a timeout del genere.


> Il problema si verifica solo con quella regola specifica?
> Non potrebbe essere dovuto al fatto che vi sono connessioni aperte al
> momento della cancellazione della regola, e quindi queste continueranno
> ad andare sino alla chiusura della connessione stessa?


Da quanto ricordo non è una questione di timeout ma è proprio come dice
Carlo.
Le nuove connessioni vengono inserite nella conntrack table e i pacchetti
relativi a connessioni già esistenti invece non vengono nemmeno interessati
dalla regola, ma viene fatta una ricerca nella conntrack table e viene
processato in base a quanto esistente nella table.
Quindi una connessione già esistente (inteso come sessione http verso un
determinato IP che risulta in stato ESTABLISHED) non viene interessato dal
cambio delle regole

Come soluzione potresti scegliere una di queste (le sto dicendo "as-is", di
fatto non le ho mai testate):
1. spegnere squid

2. rimuovere i moduli di conntrack (ammesso che non ti servano per altri
motivi). In teoria dovrebbe rimuovere la tabella di conntrack, ma questo ti
impedisce di inserire la regola:
iptables -t nat -A PREROUTING -i ethx -p tcp -m tcp --dport 80 -j REDIRECT
--to-ports 80
(ma poi, perdonami la domanda: a che ti serve questa regola? Non è
sufficiente non metterla ed eventualmente togliere il DROP che forse hai
messo in INPUT?)

3. Usare i conntrack tools che trovi sul sito di netfilter, ma non so se
siano in grado di rimuovere elemnenti nella conntrack table o solo di
visualizzarli)

HTH
Ciao
Nicola
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: <http://lugbs.linux.it/pipermail/lug/attachments/20090519/c107e187/attachment.html>