[Comm] Re: Linux Gate

Пн Дек 1 07:24:38 MSK 2003

Hi!
On Mon, 1 Dec 2003 00:46:56 +0300
Денис Смирнов <mithraen на freesource.info> wrote:

> On Sun, Nov 30, 2003 at 04:32:38PM +0200, Maxim Tyurin wrote:
> 
>  > Точно так? Чем NEW не угодил?
>  > может по 2-м правилам это расписать?
>  > -A INPUT -p TCP ! --syn -m state --state NEW -j DROP
>  > -A INPUT -p TCP -m state --state INVALID -j DROP
> 
> Если я правильно понимаю, то первое правило вообще не может сработать,

Срабатывает и еще как! Вот примерчик из лога:

$ sudo cat /var/log/iptables | grep syn
......
Dec  1 04:20:11 bgate kernel: New not syn:IN=eth2 OUT=eth1
SRC=61.129.81.6 DST=217.19.114.35 LEN=40 TOS=0x00 PREC=0x20 TTL=107
ID=50915 PROTO=TCP SPT=2258 DPT=34083 WINDOW=0 RES=0x00 ACK RST URGP=0

> а то что ты имел ввиду и есть то, что написано во второй строчке. 
> Или я неправильно понимаю логику iptables?

-- 
Best regards!
Igor Solovyov
System/Network administrator
JSC CB "Zlatkombank", Zlatoust, Russia