From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU,FREEMAIL_FROM autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=from:subject:to:references:message-id:date:user-agent:mime-version :in-reply-to:content-transfer-encoding; bh=dtul3NUmllk4r0N+yDdw0MjsotdeoZh8WauI9YxICaY=; b=xBA/exC2k+atheC+XNTYwX5T7tml1NEjgVXdzfT38IsJQVA9lv2APpgNRBxZSGxdBq +4rYl88A1MRMoJezhTxbimKArOM3a6/KnQHRVrUhXCjYqgc4zrtEAoew4WECP+9ZWNVw FHJsezqob6eWlB1qIrNwlUgnmL1SVIFptQ0IdrcbUcH1dPUCZ4xcUzb/GzYQ8922zd32 JCgs9O5FNZZPNoIHrZ96oc/8wFpcDvPt9lutjZLfWxuLD31dt0nc4OJuiDQa3NQoxrfb LK9Wni4UCu2vfpPvsEgVeOi5rxgljurTbKVFj9DLSCqVZ7r9Js9ok6/xAAWj5oewoq4h 5S4A== X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=1e100.net; s=20130820; h=x-gm-message-state:from:subject:to:references:message-id:date :user-agent:mime-version:in-reply-to:content-transfer-encoding; bh=dtul3NUmllk4r0N+yDdw0MjsotdeoZh8WauI9YxICaY=; b=Nn3HFymrZhY5MdZNheC6bn1dXIHj+I6phyfwlXk03Yj9otmRJRWGKPq47tbRvESDbV wQZkA9uzbI824oC0P6l7im/cCfb7QCCMCp2Vvd87E4oF984K4ahiG41ibxTFaVp20JaP 6fxmXbiRDdGKEsD0MCsMUR5jHj6+ZPQo/3O7S1A91UbE4dn2F6MhJp4oSKPw5RZfSszc VvqR5qBph2Rk/XnWnEAq+SAIqb2saOIod9ithd7/d7Z4YJUtIKddm+6NPgH7L8IVprLA TBDELj7VuBCcXKUNVbG85gOV13qGW5xcXig6mj8Io5KH6C9d6nhFHZ0G23apvEXaqQTt ME8Q== X-Gm-Message-State: AKaTC00QGPugSlbPK//dpw/evnFI5BduQsPjUC/WU9omyCL4m296ORNGGzUXGvjX8eVVeA== X-Received: by 10.194.75.161 with SMTP id d1mr36147249wjw.7.1480656208592; Thu, 01 Dec 2016 21:23:28 -0800 (PST) From: "=?UTF-8?B?0JIu0JAuINCY0LvQu9Cw0YDQuNC+0L3QvtCy?=" X-Google-Original-From: =?UTF-8?B?0JIu0JAuINCY0LvQu9Cw0YDQuNC+0L3QvtCy?= To: ALT Linux sysadmins' discussion References: <0663db38-58b3-a453-245e-bf0c8f3a566f@gmail.com> <21582805.8972.1480654381882.JavaMail.taf@taf.office.telnet> Message-ID: Date: Fri, 2 Dec 2016 13:23:19 +0800 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:45.0) Gecko/20100101 Thunderbird/45.5.1 MIME-Version: 1.0 In-Reply-To: <21582805.8972.1480654381882.JavaMail.taf@taf.office.telnet> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?utf-8?b?0YDRg9GC0LXRgCDQvdCwIG5mdGFibGVz?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Fri, 02 Dec 2016 05:23:31 -0000 Archived-At: List-Archive: 02.12.2016 12:52, Alexei Takaseev пишет: > >> Пытаясь перепилить шлюз с иптаблиц на сабж, упёрся в пару неясностей >> в >> таблице mangle: >> >> 1. Цепочка forward >> TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp >> flags:0x06/0x02 TCPMSS clamp to PMTU >> >> 2. Цепочка postrouting >> TTL all -- 0.0.0.0/0 0.0.0.0/0 TTL >> match >> TTL == 1 TTL set to 64 >> >> Может, кому-то уже удалось перевести это в правила nftables? > Целиком и полностью переехать на nft сейчас не реально. Что-то можно вынести в nft, > что-то пока оставить на iptables Ну, с ТТЛ, вроде, получилось, а кламп TCPMSS нужен только на РРР-соединениях. У меня лишь одни подопечные до сих пор на АДСЛ остались, остальным не актуально. А вот фейл2бан на нфтаблицах работает отлично - только жаль, что: а) он у нас старый и акции с нфтаблицами пришлось добавлять руками; б) прибит зависимостями наглухо к иптаблицам, и снести их можно только с --nodeps; в) нфтаблицы тоже старые и не умеют burst. -- Мимо крокодил. WBR, rednex CIO. Viber = +7(964)103-65-67 JID = Skype = $local_part@ Опциии rsync -aHAX --delete мозг автоматом переводит как "удалить к чёртовой матери!"