conntrack delete não para a cópia runnig do arquivo grande

1

Eu tenho um roteador com o encaminhamento nat nativo configurado. Eu lancei uma cópia http do arquivo grande via nat. O servidor http está hospedado no PC da LAN, que contém o arquivo grande para download. Eu lancei o download do arquivo do WAN PC. Eu desativei a regra nat quando a cópia de arquivo está em execução. a cópia do arquivo permanece restante. Eu quero parar a cópia do arquivo quando desabilitar a regra de encaminhamento nat com a ferramenta conntrack.

minhalistaconntrackcontémaseguintesessãoconntrack

#conntrack-L|grep"33.13"
tcp      6 431988 ESTABLISHED src=192.168.33.13 dst=192.168.33.215 sport=52722 dport=80 src=192.168.3.17 dst=192.168.33.13 sport=80 dport=52722 [ASSURED] use=1

Eu tentei removê-lo com o seguinte comando:

# conntrack -D --orig-src 192.168.33.13
tcp      6 431982 ESTABLISHED src=192.168.33.13 dst=192.168.33.215 sport=52722 dport=80 src=192.168.3.17 dst=192.168.33.13 sport=80 dport=52722 [ASSURED] use=1
conntrack v1.4.3 (conntrack-tools): 1 flow entries have been deleted.

a sessão conntrack é removida Eu posso ver no seguinte comando. Mas outra sessão conntrack foi criada com o endereço IP src é o endereço de lan do conntrack removido

# conntrack -L | grep "33.13"
tcp      6 431993 ESTABLISHED src=192.168.3.17 dst=192.168.33.13 sport=80 dport=52722 src=192.168.33.13 dst=192.168.33.215 sport=52722 dport=80 [ASSURED] use=1
conntrack v1.4.3 (conntrack-tools): 57 flow entries have been shown.

Eu tentei remover o novo conntrack, mas ele continua sendo

# conntrack -D --orig-src 192.168.3.17

# conntrack -L | grep "33.13"
conntrack v1.4.3 (conntrack-tools): 11 flow entries have been shown.
tcp      6 431981 ESTABLISHED src=192.168.3.17 dst=192.168.33.13 sport=80 dport=52722 src=192.168.33.13 dst=192.168.33.215 sport=52722 dport=80 [ASSURED] use=1

O que eu sinto falta?

    
por Mohamed KALLEL 13.10.2017 / 01:14

1 resposta

2

link

nf_conntrack_tcp_loose - BOOLEAN
0 - disabled not 0 - enabled (default)
If it is set to zero, we disable picking up already established connections.

Assim, a conexão já estabelecida é detectada on-the-fly (sem SYN / SYN + ACK / ACK envolvido) e adicionada novamente como uma nova entrada conntrack. Como é uma nova entrada conntrack, a tabela nat será novamente percorrida e a regra DNAT será aplicada novamente. Mesmo se um caminho não funcionar imediatamente (se não houver nenhum SNAT / MASQUERADE definido além da regra DNAT, os pacotes de saída do servidor http podem aparecer na WAN como 192.168.3.17 por um curto período e ser rejeitados / ignorados por 192.168.33.13) , assim que a outra maneira tentar novamente (ACK tente novamente a partir de 192.168.33.13 ...) isto irá corresponder.

Digite isto:

echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose

E tente novamente excluir a entrada conntrack com conntrack -D ...

Isso deve evitar que uma nova entrada do conntrack seja criada e cortar o download.

    
por 14.10.2017 / 23:24