[GTER] BGP e Roteamento
Rubens Kuhl
rubensk at gmail.com
Thu May 11 17:38:44 -03 2017
2017-05-11 22:18 GMT+02:00 Alex Lima Pereira <alex.l.pereira at hotmail.com>:
> Olá Rubens,
>
>
> Conntrack está ligado apenas para uma regra stateful de input .
>
> O forward está totalmente liberado sem uso de conntrack, mesmo assim ele
> influencia?
Sim, influencia. Para tirar a influência dele, precisa colocar regras de
notrack na tabela RAW da chain PREROUTING para todo tráfego cujo IP destino
não seja o roteador. Aí você vai poder combinar stateful no tráfego de
input e stateless no tráfego de forward.
Algo assim:
ipset -N meusips iphash
ipset -A meusips 1.1.1.1
ipset -A meusips 2.2.2.2
iptables -t raw -A PREROUTING -m set --set meusips dst -j ACCEPT
iptables -t raw -A PREROUTING -j NOTRACK
Mas como citado pelo Danton e pelo Lucas, o rp_filter também é um suspeito
para esse problema... de todo modo, mesmo que o conntrack não fosse o
causador desse problema, mais hora menos hora você ia estourar a tabela de
conexões desse roteador por estar fazendo conntrack de tudo.
Rubens
More information about the gter
mailing list