Третий день ищу в манах ответ на вопрос: почему не работает данная конструкция?
(смысл: правила 1, 2 и 3 по трем стукам в ping добавляют в таблицу LETMEIN записи, правило 5 дропает коннекты по tcp на порт 111 если в таблице LETMEIN нет 3 попаданий по ping)
Лог пишет что попадание правил 1,2,3 было, но правило 5 все равно срабатывает...
Терзают смутные сомнения что таблицы recent для TCP и ICMP разные, но нигде не смог найти тому подтверждение. Подскажите можно ли это как-то проверить и как выйти из ситуации?
А Вы уверены, что это именно 5 правило срабатывает, а не какое-то другое правило или политика дропает пакет? По моему разумению оно в принципе никогда сработать не может: условие ! --rcheck должно противоречить условию --hitcount 3.
А Вы уверены, что это именно 5 правило срабатывает, а не какое-то другое правило или политика дропает пакет? По моему разумению оно в принципе никогда сработать не может: условие ! --rcheck должно противоречить условию --hitcount 3.
При ! --rcheck вся конструкция recent становится отрицательной, то есть дропается со всех адресов которые в таблице LETMEIN меньше 3 раз появлялись либо не появлялись вообще. Я бы с радостью поставил ! --hitcount 3 да к сожалению в iptables версии v1.4.21 не работает отрицание hitcount (в более ранних версиях работало).
