Názor ke článku Internet 4G: Kde to hnije, tam je ...? od BLEK. - [1]: Já, když jsem tohle zkoušel, tak mi...
-
BLEK. (neregistrovaný)
[1]: Já, když jsem tohle zkoušel, tak mi to nefungovalo, protože "nat/POSTROUTING" se provádí až po "filter/OUTPUT" (a navíc "filter/OUTPUT" se neprovádí u routovaných packetů). Bohužel je "nat/POSTROUTING" poslední chain, co se provádí, takže za něj už žádné omezení dát nejde. Pomohlo mi:
-A FORWARD -m conntrack --ctstate INVALID -j REJECT --reject-with icmp-port-unreachable
--- na Linuxu to bez tohoto padá tehdy, když Linux NAT zapomene stav nějakého spojení (myslí si, že už bylo ukončeno) a klient za NATem si myslí, že to spojení stále žije. Pak Linuxový NAT přestane přepisovat zdrojovou adresu a bude ty packety routovat tak jak chodí. K odfiltrování takových packetů je potřeba ten test na cstate INVALID.
Ale pokud je tam něco, co generuje packety lokálně s jinou adresou (otázka je jak? že by se někdo snažil o multicasty či co?), tak by to s tím OUTPUT mohlo pomoct.
... jinak, ať si dotyčný pustí tcpdump a zkusí z toho určit, jaký zlý packet mu to spojení shodil.
