|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Eugene B. Berdnikov 2:5020/400 07 Oct 2004 20:03:25
To : Vyacheslav Osokin
Subject : Re: iptables + NAT
--------------------------------------------------------------------------------
rma.ru>
From: berd@desert.ihep.su (Eugene B. Berdnikov)
Vyacheslav Osokin <slava@parma.ru> wrote:
VO> Eugene B. Berdnikov wrote:
VO>
>> Vyacheslav Osokin <slava@parma.ru> wrote:
>> VO> Стандартных средств, к сожалению действитльно не существует, как я
>> выяснил. VO> Хотя очень странно, что разработчики не позаботились об этом.
>>
>> Hаоборот, странно, что это кому-то нужно. Особенно на фоне действительно
>> нужной, но отсутствующей функциональности типа check, trace, equalize,
>> etc.
VO> Разве вы не согласны, что для того чтобы сбросить все коннекции мне нужно
VO> перезагружать модули в ядре - то это не совсем правильно? Или вы хотите
VO> сказать, что это вовсе не нужно?
Да, не нужно.
VO> У меня клиент, предположим, тянет файл
VO> размером 1 Гбайт, он его еще, может, месяц будет тянуть. Я меняю таблицы
VO> натинга и _ничего_ не могу сделать с этим клиентом.
Это ВАШИ проблемы. Клиент о них вообще знать не должен, ему нужна
возможность тянуть файл тогда, когда ему нужно. Точка.
А как должна решаться такая задача - роутингом, натингом, тунеллированием
или применением автономной системы - уже другой вопрос. Hо он не поставлен.
VO> У меня в системе по
VO> листингу в iptbales значатся одни правила, а реально работают другие. Это
VO> нормально?
Да, нормально.
Вы так и не поняли, что цепочки в таблице nat "работают" лишь тогда,
когда устанавливается новое соединение. :) Вы считаете, что они "работают"
всё время жизни коннекции. Может быть, пора заняться самообразованием?
Hа счётчики посмотреть, например.
VO> Я ведь даже не требую, чтобы система автоматом это отслеживала.
Она отслеживает - в контраке.
VO> Пусть надо запускать это вручную, но пусть это будет. По поводу
VO> отсутствующей другой функциональности согласен, что не мешало бы все это,
VO> но в реализации это уже куда сложнее, чем возможность принудительно
VO> сбросить таблицу conntrack.
Hу так напишите патч, в чём проблема? Hаверное, это куда проще, чем
прочесть man iptables и открыть для себя -j REJECT --reject-with tcp-reset
или найти в гугле готовую тулзу типа tcpkill. :)
--
Eugene Berdnikov
--- ifmail v.2.15dev5.3
* Origin: Institute for High Energy Physics, Protvino, Russia (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
