У меня есть маршрутизатор с настроенным перенаправлением портов NAT. Я запустил http-копию большого файла через NAT. http-сервер размещен на ПК в локальной сети, на котором находится большой файл для загрузки. Я запустил загрузку файла с ПК в глобальной сети. Я отключил правило NAT, когда выполнялось копирование файла. Копия файла продолжает оставаться. Я хочу остановить копирование файла, когда отключу правило перенаправления NAT с помощью conntrack-tool.
мой список conntrack содержит следующую сессию conntrack
# conntrack -L | grep "33.13"
tcp 6 431988 ESTABLISHED src=192.168.33.13 dst=192.168.33.215 sport=52722 dport=80 src=192.168.3.17 dst=192.168.33.13 sport=80 dport=52722 [ASSURED] use=1
Я попытался удалить его с помощью следующей команды:
# conntrack -D --orig-src 192.168.33.13
tcp 6 431982 ESTABLISHED src=192.168.33.13 dst=192.168.33.215 sport=52722 dport=80 src=192.168.3.17 dst=192.168.33.13 sport=80 dport=52722 [ASSURED] use=1
conntrack v1.4.3 (conntrack-tools): 1 flow entries have been deleted.
сеанс conntrack удален, я вижу в следующей команде. Но был создан другой сеанс conntrack с src ip адресом, который является lan адресом удаленного conntrack
# conntrack -L | grep "33.13"
tcp 6 431993 ESTABLISHED src=192.168.3.17 dst=192.168.33.13 sport=80 dport=52722 src=192.168.33.13 dst=192.168.33.215 sport=52722 dport=80 [ASSURED] use=1
conntrack v1.4.3 (conntrack-tools): 57 flow entries have been shown.
Я пытался удалить новый conntrack, но он все равно остается
# conntrack -D --orig-src 192.168.3.17
# conntrack -L | grep "33.13"
conntrack v1.4.3 (conntrack-tools): 11 flow entries have been shown.
tcp 6 431981 ESTABLISHED src=192.168.3.17 dst=192.168.33.13 sport=80 dport=52722 src=192.168.33.13 dst=192.168.33.215 sport=52722 dport=80 [ASSURED] use=1
Что я упускаю?
решение1
https://www.kernel.org/doc/Documentation/networking/nf_conntrack-sysctl.txt
nf_conntrack_tcp_loose - BOOLEAN
0 - disabled not 0 - enabled (default)
If it is set to zero, we disable picking up already established connections.
Таким образом, уже установленное соединение обнаруживается на лету (без участия SYN/SYN+ACK/ACK) и добавляется обратно как новая запись conntrack. Поскольку это новая запись conntrack, таблица nat будет пройдена снова, и правило DNAT будет применено снова. Даже если один способ не сработает немедленно (если в дополнение к правилу DNAT не определен SNAT/MASQUERADE, исходящие пакеты http-сервера могут отображаться в WAN как 192.168.3.17 на короткое время и быть отклоненными/игнорированными 192.168.33.13), как только другой способ попытается снова (повтор ACK с 192.168.33.13...), это совпадет.
Введите это:
echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose
И попробуйте еще раз удалить запись conntrack с помощью conntrack -D...
Надеемся, это предотвратит создание новой записи conntrack и остановит загрузку.