ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: 113: No route to host



Доброго времени суток.


-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m tcp -p tcp -s a.a.a.a --dport 80 -j REJECT 
--reject-with tcp-reset

вот эта сексуальная позиция не несёт никакого смысла, убедиться легко,
посмотрев на iptables -vL после пары часов работы системы - во втором правиле
не будет ни единого пакета.

Может быть я не совсем точно выразил то, что хотел сказать.
Да, в указанном случае действительно во второе правило уже ничего не приходит. Я его поставил для подстраховки.
А вот если оставить так:
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

то iptables -vL ПОКАЗЫВАЕТ пакеты, которые попадают во второе правило :((
Как это происходит? Я не знаю. И это не только у меня так.

-A RH-Firewall-1-INPUT -m state --state INVALID -j DROP

На другом форуме тоже высказали, что это могут быть INVALID пакеты.
Но мне помогло именно:
-A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -j ACCEPT

Сегодня попробую поставить правило с INVALID пакетами и посмотрю, как nginx на fronend будет реагировать, когда они будут дропаться.

Дмитрий Лабутин

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.