iptables: dát podmínku pro TCP? PRO conntrack-accept?

Hamparle

  • ***
  • 122
  • junior developer ucho
    • Zobrazit profil
    • E-mail
Mám pravidlo
Kód: [Vybrat]
-A FORWARD -i en1kdo2tyhle3 -o en4kdebilni5nazvy  -m conntrack --ctstate RELATED,ESTABLISHED -c 50604787 70467320953 -j ACCEPT v FORWARDU.
Je dobrý nápad toto pravidlo omezit na protokol TCP?

(Protože jsem si v výstupu sudo conntrack -E všiml)
Kód: [Vybrat]
    [NEW] udp      17 30 src=10.1.1.54 dst=10.1.1.23 sport=61023 dport=53 [UNREPLIED] src=10.1.1.23 dst=10.1.1.54 sport=53 dport=61023
 [UPDATE] udp      17 30 src=10.1.1.54 dst=10.1.1.23 sport=61023 dport=53 src=10.1.1.23 dst=10.1.1.54 sport=53 dport=61023
[DESTROY] udp      17 src=10.1.1.54 dst=10.1.1.23 sport=56119 dport=53 src=10.1.1.23 dst=10.1.1.54 sport=53 dport=56119
    [NEW] udp      17 30 src=10.1.1.54 dst=10.1.1.23 sport=53187 dport=53 [UNREPLIED] src=10.1.1.23 dst=10.1.1.54 sport=53 dport=53187
    [NEW] udp      17 30 src=192.168.2.8 dst=8.8.8.87 sport=18742 dport=53 [UNREPLIED] src=8.8.8.87 dst=192.168.2.8 sport=53 dport=18742



(8.8.8.8 remote DNS, 10.1.1.0= vniřní síť, 10.1.1.23 ip routeru ve vnitřní síti, 192.168.2.8/24 přiřazená IP/síť mému routeru, na který se ptám)
Nemohu mít třeba blbě nastavený  dns forwarder(použitý pro klienty z vnitřní sítě), že dotazy posílá pod IP adresou vnitřní sítě a dochází k zbytečnému NATování?

Teď jsem to omylem rozšířil na 2 otázky... - vyňatí UDP z conntrack a analýza chování dns forwarding demona