Zde (rád se nechám poučit, jak to udělat "fortelně", nejsem v tom uplně si jistý, mám tam i pár věci zbytečně víckrát)
pocitac:~ $ sudo iptables -nvL
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
2 176 DROP all -- * * 10.2.0.0/24 0.0.0.0/0 ## nechci se nechat rušit pakety odvedle
0 0 REJECT all -- * * 0.0.0.0/0 10.2.0.0/24 reject-with icmp-port-unreachable ## nechci odesílat nic do vedlejší sítě
39M 54G ACCEPT all -- wlan1 eth0 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED # pravidlo pro příchozí spojení
19M 4650M ACCEPT all -- eth0 wlan1 0.0.0.0/0 0.0.0.0/0 ## pravidlo pro odchozí spojení
0 0 ACCEPT all -- eth0 wlan1 192.168.1.0/24 0.0.0.0/0 ## duplicita
0 0 ACCEPT all -- wlan1 eth0 0.0.0.0/0 192.168.1.0/24 ctstate RELATED,ESTABLISHED ## duplicita
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
4842K 7257M ACCEPT all -- wlan1 * 0.0.0.0/0 0.0.0.0/0 ctstate RELATED,ESTABLISHED # aby mi šel internet i přímo z tohoto kompu + primitivní čítač dat
61461 2159K DROP all -- wlan1 * 0.0.0.0/0 0.0.0.0/0 ## základní firewall
83218 6880K ACCEPT all -- eth0 * 0.0.0.0/0 0.0.0.0/0 (čítač odchozích dat)
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
pocitac:~ $ sudo iptables -t nat -nvL # PREROUTING INPUT OUTPUT=NIC
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
46059 5394K MASQUERADE all -- * wlan1 0.0.0.0/0 0.0.0.0/0 ## ne asi, o tom to celé je
Taky jsem se pokoušel trasovat traffic sudo watch -n 1 -d iptables -nxvL ale to je vidět, že vše chodí přes ty první 2 ACCEPTY (GIGABAJTY DAT). Občas nějaké pakety probliknout v INPUT ty dva poslední, ale to nevím čemu bych přisoudil, klidně to může být nějaký šum z všeljaké IGMP , arpy, chromecasty, sdílení 137/138.
Taky je zajímavé že sudo watch -n 1 -d iptables -nxvL -t nat "tiká" mnohem pomaleji, jako kdyby započítával jen první paket SYN a další by šly přes -t filter ... JAK TO JE???
Taky jsem se na to chtěl podívat přes conntrack -L ve spojitosti s tcpudump -ni any - porovnat čísla portů. Ale až později
[/code]
Pro jistotu taky tabulka směrování:
Směrovací tabulka v jádru pro IP
Adresát Brána Maska Přízn Metrik Odkazů Užt Rozhraní
0.0.0.0 10.2.0.250 0.0.0.0 UG 303 0 0 wlan1
169.254.0.0 0.0.0.0 255.255.0.0 U 202 0 0 eth0
10.2.0.0 0.0.0.0 255.255.255.128 U 0 0 0 * # ruční zásah , nešlo mi mazat tu automaticky vytvořenou routu níže, tak jsem ji přebil touto (vzniká při připojení k síti)
10.2.0.0 0.0.0.0 255.255.255.0 U 303 0 0 wlan1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Změna: Ono to není při velkém uploadu, jak jsem psal, zkrátka náhodně
Taky by mě zajímala vůbec příčina toho trafficu, jestli je to reakce na nějaký předchozí paket, ale jak říkám, musím se podívat na ten conntrack a tcpdump -i any.
Moje hypotézy:
- Nějaké nadměrné pravidlo ACCEPT někde
- chybějící --dst v pravidlu forward --ctstate related
- conntrack uzavře spojení dřív než smartphone a router ho považuje za neplatný a tedy ho nenatuje
- chybějící pravidlo --ctstate INVALID,ATD -j DROP