= Сообщение: 5705 из 8277 ========================================= RU.LINUX = От : Alexander N. Skovpen 2:5020/9696.128 11 Apr 19 20:50:00 Кому : Michael Dukelsky 11 Apr 19 20:50:00 Тема : iptables FGHI : area://RU.LINUX?msgid=2:5020/9696.128+5caf7e49 На : area://RU.LINUX?msgid=2:5020/1042+5caeea63 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== Hello Michael Dukelsky!
11 Apr 19 10:18:18, Michael Dukelsky wrote to Alexander N. Skovpen:
MD>>> -A forward_int -s x.x.x.x/nn -o br0 -p tcp -m tcp --dport 443 -m MD>>> conntrack --ctstate NEW -j ACCEPT MD>>> FWD-INT-ILL-ROUTING IN=br1 OUT=br0 MAC=... SRC=y.y.y.y MD>>> DST=z.z.z.z LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=15984 DF MD>>> PROTO=TCP SPT=56085 DPT=443 WINDOW=258 RES=0x00 ACK FIN URGP=0 MD>>> При этом адреса SRC=y.y.y.y лежат в диапазоне x.x.x.x/nn, MD>>> указанном в iptables. Что это значит? Почему пакеты просачиваются MD>>> через фильтр? AS>> а z.z.z.z находится в route на br0? MD> Да.
Если бы всё это было правдой, то отработало как надо - ещё 10 раз перепроверь попадает ли всё под маски и на всякий случай iptables-save -c посмотри, что правила именно такие. и tcpdump заодно. может чего интересное заметишь