У меня
IBM x-Series 2 ядра 1 МБ памяти
Mandriva-2007.1 kernel-2.6.17
iptables-1.4
Правила "рисую" fwbuilder-ом 3.0.3
Ситуация: есть правило, допустим
где 81.хх.хх.хх мой внешний ip, т.е. открываю в мир 25 порт (smtp).$IPTABLES -A INPUT -i eth0 -p tcp -m tcp -m multiport -d 81.хх.хх.хх --dports 25,465 -m state --state NEW -j ACCEPT
Отброшенные пакеты смотрю logwatcher.pl и временами вижу что-нибудь типа
Rule 36 представляет из себяFeb 26 12:31:42 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25
Feb 26 12:31:45 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25
Feb 26 12:31:51 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25
Feb 26 12:32:03 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25
Feb 26 12:32:27 RULE 36 DENY eth0 TCP 83.132.181.230:2657 81.хх.хх.хх:25
Смотрю /var/log/messages$IPTABLES -A INPUT -i eth0 -d 81..хх.хх.хх -j DROP
По флагам ACK FIN клиент вроде бы пытается закрыть соединение. Почему эти пакеты iptables воспринимает как несоответствующие первому приведенному правилу. Причем это относится не ко всем пакетам, а в какой-то момент времени что-то ему не нравится. И это относится не только к этому правилу, а вообще к любому разрешающему. При все работает, почта летает, клиенты коннектятся, мои юзеры ходят в инет куда им разрешено ходить. Железо не нагружено, сеть тоже не напределе.Feb 26 12:32:03 gate kernel: RULE 36 - DENY IN=eth0 OUT= MAC=00:1c:f0:9e:44:e0:00:1b:0c:20:94:19:08:00 SRC=83.132.181.230 DST=81.хх.хх.хх LEN=40 TOS=0x00 PREC=0x20 TTL=108 ID=64273 PROTO=TCP SPT=2657 DPT=25 WINDOW=17424 RES=0x00 ACK FIN URGP=0
Feb 26 12:32:27 gate kernel: RULE 36 - DENY IN=eth0 OUT= MAC=00:1c:f0:9e:44:e0:00:1b:0c:20:94:19:08:00 SRC=83.132.181.230 DST=81.хх.хх.хх LEN=40 TOS=0x00 PREC=0x20 TTL=108 ID=2216 PROTO=TCP SPT=2657 DPT=25 WINDOW=17424 RES=0x00 ACK FIN URGP=0
Кто знает в чем может быть проблема, подскажите.