Доброго времени суток.


> -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -j ACCEPT
> -A RH-Firewall-1-INPUT -m tcp -p tcp -s a.a.a.a --dport 80 -j REJECT --reject-with tcp-reset
>
> вот эта сексуальная позиция не несёт никакого смысла, убедиться легко,
> посмотрев на iptables -vL после пары часов работы системы - во втором правиле
> не будет ни единого пакета.

Может быть я не совсем точно выразил то, что хотел сказать.
Да, в указанном случае действительно во второе правило уже ничего не
приходит. Я его поставил для подстраховки.
А вот если оставить так:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j
ACCEPT

то iptables -vL ПОКАЗЫВАЕТ пакеты, которые попадают во второе правило :((
Как это происходит? Я не знаю. И это не только у меня так.

> -A RH-Firewall-1-INPUT -m state --state INVALID -j DROP

На другом форуме тоже высказали, что это могут быть INVALID пакеты.
Но мне помогло именно:
-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -j ACCEPT

Сегодня попробую поставить правило с INVALID пакетами и посмотрю, как
nginx на fronend будет реагировать, когда они будут дропаться.

Дмитрий Лабутин

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru