Desabilitar o nf_conntrack [RESOLVIDO]

1. Desabilitar o nf_conntrack [RESOLVIDO]

calvinb
(usa Fedora)

Enviado em 31/07/2013 - 19:00h

Como desabilitar, remover, limpar, cancelar, enfim, sumir com o nf_conntrack?

Preciso realmente que ele não armazene as ligações estabelecidas.

Tentei utilizar a regra "iptables -t raw -F" mas não obtive sucesso.
Até tentar apagar com o rm-rf /proc/net/nf_conntrack eu tentei, mas a operação não foi permitida.

Então, alguém teria alguma ideia?
Ou tem como eu colocar um notrack nas regras SNAT, DNAT e MASQUERADE do NAT?

Agradeço se alguém souber.

0 0

Quote

2. MELHOR RESPOSTA

lejoso
(usa Debian)

Enviado em 01/08/2013 - 13:30h

Acredito que se você remover o modulo nf_conntrack seja uma opção -> rmmod nf_conntrack.

Porém pelo iptables também é possível.

iptables -t raw -I PREROUTING -j NOTRACK (pacotes originados fora do firewall)
iptables -t raw -I OUTPUT -j NOTRACK (pacote que são originados no firewall)

Nessas regras você deve acrescentar as condições dos pacotes que vocẽ não quer que seja adicionado no conntrack.

Porém o não armazenamento no conntrack vai implicar em 2 coisas fundamentais:

1) Vocẽ não poderá criar regras de acordo com o estado de conexão.

2) Nenhuma regra da tabela nat será aplicada. ou seja, se uma estação precisar sair pela internet não será possível.

Normalmente isso pode ser usado em acessos via vpn, já que não precisa ser usado o mascaramento. ou se você quer que esse firewall trabalhe apenas como router.

Att,

Lejoso

0 0

Quote