Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: Matyasek 18. 08. 2019, 00:03:10

Název: iptables nat a udrzovani session
Přispěvatel: Matyasek 18. 08. 2019, 00:03:10

Nazdar.

Mam takovy problem s iptables a NATem. Mam udelan klasicky NAT pres -j SNAT a stavovy
firewall ESTABLISHED,RELATED.
Vse funguje jak ma ale pozoruji zajimavou vec. Kdyz se mi zarizeni v lokalni siti odpoji resp.
vypnou, tak porad chodi pakety z netu dovnitr. Nektere servery porad posilaji TCP ACK na pocitace
co jsem vypnul pred hodinou i vic. Tyto pakety nejspis udrzuji NAT session aktivni a proto se je routr snazi
dorucit i hodiny po tom, co jsou pocitace v LANce vypnuty.
Pak mi litaji  v LANce ARP pakety od routru, protoze kdyz TCP ACK dorazi na routr, tak ten jiz pocitac nevidi,
protoze je hodinu vypnutej. Jde nejak nastavit v iptables, aby pokud session neni
nejakou dobu udrzovana sourcem, aby vyexpirovala treba po 10 minutach?
Dikes.

Název: Re:iptables nat a udrzovani session
Přispěvatel: Filip Jirsák 18. 08. 2019, 08:44:38

Nebylo by lepší řešit příčinu, tedy co divného se děje s tím TCP spojením, že mají servery potřebu posílat ACK ještě hodinu po ukončení komunikace?

Jinak timeouty pro conntrack se nastavují pomocí sysctl – pomocí

Kód: [Vybrat]

sysctl -a --pattern nf_conntracksi vypište aktuální nastavení, uvidíte tak, co můžete změnit.