Como você bloqueia novas conexões tcp de entrada na porta X? Precisa ser feito com o iptables. Na verdade, eu tenho um comando iptables funcionando, mas sempre chegamos ao ip_conntrack_max mesmo quando o ip_conntrack_max está muito alto. Existe uma maneira de fazer isso sem acompanhar?
Se você quiser bloquear as tentativas de estabelecer novas sessões para uma determinada porta, mas ainda permitir que os pacotes passem por sessões estabelecidas, você precisará fazer algo como:
iptables -A INPUT -j DROP -p tcp --syn --destination-port dport
Isso deve permitir qualquer conexão iniciada na máquina local, que por acaso use dport como seu número de porta local.
isso deve bloquear o tráfego sem envolver o conn_track:
iptables -A INPUT -j DROP -p tcp --destination-port <your port>
acompanhamento de conexão só deve funcionar quando você especifica -m state ou --state em suas regras.
Eliminar --syn interromperá novas conexões e não deverá haver nenhuma conexão semiaberta para rastrear. Em geral, a filtragem "sem acompanhar" é possível no estágio -t raw -I PREROUTING .
Tags networking iptables firewall