• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] conntrack Tabelle leeren

C

calimero1986

Newbie
Hallo

ich habe eine Firewall mit IPTables auf einem Suse Linux 11.1er Rechner laufen.

Wenn ich nun Regeln sperre, dann bleiben aber auf Grund der conntrack tabelle Verbindungen verbunden.

Da ich diese ungern von Hand jedes Mal aus der conntrack-abelle werfen will.

Gibts eine möglichkeit, ein kleiner BEfehl die conntrack-tabelle schnell zu leeren, weil über iptables, hab ich keinen We gefunden das Problem zu beheben.

Danke
 
S

spoensche

Moderator
Teammitglied
Regeln sperren?
Sperren kann man nur Ports und somit die Verbindung unterbinden. Die Regeln müssen allerdings in der richtigen Reihenfolge sein.

Die Chains (Regelketten) können mit
Code: 
iptables -F chainname
geleert werden.
 
OP
C

calimero1986

Newbie
eben nicht

ich stelle beim firewall restart alles auf dropp, und er startet wieder mit den "sicheren" regeln, aber die Verbindung behällt er wegen der contrack tabelle

mfg

edit: nochmal der Grundgedanke

Ich erlaube eine Verbindung temporär in dem ich eine regel dazuschalte bzw mehrere
danach leere ich mit iptables -F alle chains und schreibe die standart regeln wieder rein

dabei bleiben aber verbundene verbindungen bestehen wgn der nf_conntrack tabelle
 
framp

framp

Moderator
Teammitglied
calimero1986 schrieb:
... dabei bleiben aber verbundene verbindungen bestehen wgn der nf_conntrack tabelle
Zum Vergrößern anklicken....
Bist Du Dir sicher? Genau so hatte ich es damals bei mir aufgesetzt um feste OnlineZeiten für meine Kiddies zu haben.
1) Add mit -I von allow Regeln für die Kiddie IPs
2) Remove mit -D von allow Regeln für die Kiddie IPs
Bestehende Verbindungen sind dann unterbochen worden (Weiss ich genau - gab öfters deswegen Diskussionen - war gerade auf eine so schönen Seite usw :roll: )
 
OP
C

calimero1986

Newbie
Huhu

Danke Framp

so einfach wie genial :)

Ich hatte gedacht mit iptables -F hätt ich den selben Effekt, aber hab ich mich geirrt.

nun hab ich einfach eine iptables-d für die established / relatet regel gemacht und für die ip regel und schon schießt die verbindung weg, super :)

Danke vielmals Problem gelöst
 
OP
C

calimero1986

Newbie
huhu
ich hab noch folgendes Problem

wenn ich mit putty ne ssh session durch die fw oder auf die fw aufhabe

benutze den Befehl flieg ich raus wenn ich ihn aber mit nem sleep mache um ihn ja danach nochmal zu aktivieren weil ich ja auch wieder drauf will, hällt er die verbindung, also er trennt sie nicht komplett er wartet nochn timeout oder so ab.

Wenn er den timeout aus der contrack nimmt hab ich nichts gewonnen.

problem is es gehen mehr als nur diese eine Verbindung die ich trennen will über die Firewall und die sollen möglichst nicht bzw nur sehr kurz gestört sein

jemand noch ne idee?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben