Netfilter pour DROP OUTPUT ? Pensez à reject
dimanche 16 août 2015 à 19:22GuiGui's Show - Liens
Si vous droppé votre trafic réseau sortant (par exemple pour pas qu'il sorte en dehors de votre VPN lorsque celui-ci flappe ou se monte au démarrage / sortie d'hibernation), pensez à ajouter ceci à la fin de votre jeu de règles :
iptables -t filter -A OUTPUT -m comment --comment "reject all for no timeout" -j REJECT --reject-with icmp-admin-prohibited
ip6tables -t filter -A OUTPUT -m comment --comment "reject all for no timeout" -j REJECT --reject-with icmp6-adm-prohibited
Cela permet de ne pas laisser attendre les programmes jusqu'à l'expiration du timeout (DROP ignore silencieusement ;) ) -> gain de vitesse (sur dnssec-trigger, par exemple).
(Permalink)
Si vous droppé votre trafic réseau sortant (par exemple pour pas qu'il sorte en dehors de votre VPN lorsque celui-ci flappe ou se monte au démarrage / sortie d'hibernation), pensez à ajouter ceci à la fin de votre jeu de règles :
iptables -t filter -A OUTPUT -m comment --comment "reject all for no timeout" -j REJECT --reject-with icmp-admin-prohibited
ip6tables -t filter -A OUTPUT -m comment --comment "reject all for no timeout" -j REJECT --reject-with icmp6-adm-prohibited
Cela permet de ne pas laisser attendre les programmes jusqu'à l'expiration du timeout (DROP ignore silencieusement ;) ) -> gain de vitesse (sur dnssec-trigger, par exemple).
(Permalink)