| |
| 2.2, Фыр (?), 21:34, 19/03/2014 [ответить]
| +14 +/– |
Ага, 5 лет калитка нараспашку и никто туда не зашёл.
Я вообще про этот протокол впервые слышу.
Он хоть где-то используется?
| | |
| |
| 3.50, Аноним (-), 22:53, 19/03/2014 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Он хоть где-то используется?
Проверил - фигЪ. OpenWRT на роутерах - нету. Десктопы с *бунту - нету. Серваки с дебианом и ubuntu - нету. Всякая эмбедовка, N900 - аналогично. DCCP - редкий вид. Хватай, а то убежит.
| | |
| 3.85, Аноним (-), 10:28, 20/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
Ему ине надо использоваться, чтоб хакнуть твою систему.
Как я понял, если разрешать только tcp/udp/icmp и дропать все остальное, то обработка других пакетов в contrack все равно идет?
| | |
| |
| 4.92, Michael Shigorin (ok), 16:23, 20/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
 > Ему ине надо использоваться, чтоб хакнуть твою систему.
Даже если nf_conntrack_proto_dccp не загружен? Ну попробуйте.
| | |
|
| 3.89, azure (ok), 10:59, 20/03/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Ага, 5 лет калитка нараспашку и никто туда не зашёл.
Как можно знать что никто не зашел? Никто не сказал, что зашел.
| | |
|
| |
| |
| |
| 5.13, Аноним (-), 21:51, 19/03/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
Загружается автоматически.
| | |
| |
| 6.16, backbone (ok), 21:53, 19/03/2014 [^] [^^] [^^^] [ответить]
| –2 +/– |
 > Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
> Загружается автоматически.
Странно, в Debian не загружается. В Gentoo вообще *DCCP*=n. Какой дистрибутив?
| | |
| |
| 7.51, Аноним (-), 22:54, 19/03/2014 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Странно, в Debian не загружается.
И в *buntu тоже. И вообще, я ни 1 машины с этим модулем не нашел, даже среди всякой эмбедовочной экзотики.
| | |
|
| 6.17, AlexAT (ok), 21:53, 19/03/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
> Загружается автоматически.
В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.
| | |
| |
| 7.38, Аноним (-), 22:27, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.
Ага, в openwrt по дефолту вражеского модуля тоже нету. Так что домашние роутеры с openwrt тоже не вы#$%т. Это хорошо.
| | |
| 7.86, Аноним (-), 10:31, 20/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
>> Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
>> Загружается автоматически.
> В рхеле/центосе nf_conntrack_dccp (6) / ip_conntrack_dccp (5) загружается только по требованию.
В убунте один модуль nf_conntrack, который обрабатывает все соединения. Значит в дебиане тоже.
| | |
|
| 6.40, ZloySergant (ok), 22:31, 19/03/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >Afaik, уявзимый модуль собирается и ставится по умолчанию практически во всех дистрах.
Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на известную букву, и, как пишут в интернетах, ССЗБ.
P.S. Я - не про одмина локалхоста.
| | |
| |
| 7.60, Аноним (-), 00:14, 20/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Если отдельно взятый одмин не отключил всё, что нафиг не нуно, то он - чудак на известную букву, и, как пишут в интернетах, ССЗБ.
Вот делать админам нечего, как денно и нощно пересобирать пакеты с нужными опциями.
Вы путаете админов с гентушниками.
| | |
| |
| |
| 9.78, volax (?), 08:20, 20/03/2014 [^] [^^] [^^^] [ответить] | +5 +/– | А вы вообще всё путаете Грешное и праведное - антонимы, а теплое и мягкое - нет... текст свёрнут, показать | | |
| 9.94, Аноним (-), 21:30, 20/03/2014 [^] [^^] [^^^] [ответить] | +1 +/– | Ну расскажите нам, как вы тюните ядро для сервера через конфиг ядра Наверное, с... текст свёрнут, показать | | |
|
| |
| 9.93, Аноним (-), 21:27, 20/03/2014 [^] [^^] [^^^] [ответить] | –1 +/– | Как раз эникеи и прочие младоадмины, после того как осилят пересборку ядра, очен... текст свёрнут, показать | | |
|
|
|
|
| |
| |
| 7.24, Аноним (-), 21:58, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
>>> Не включено.
>> как узнать ?
> lsmod | grep -i dccp.
Это выдаст только текущее состояние, которое может измениться в любой момент.
| | |
| |
| 8.26, AlexAT (ok), 22:01, 19/03/2014 [^] [^^] [^^^] [ответить] | +1 +/– | Для полной уверенности, если конечно как модуль собрано lsmod 124 grep dccp ... текст свёрнут, показать | | |
| 8.27, PavelR (ok), 22:01, 19/03/2014 [^] [^^] [^^^] [ответить] | +1 +/– |  Расскажите пожалуйста, каким образом произойдет изменение состояния Что будет ... текст свёрнут, показать | | |
| |
| 9.30, Аноним (-), 22:10, 19/03/2014 [^] [^^] [^^^] [ответить] | +/– | Какая-нибудь умная морда к iptables при очередной настройке обновлении решит, ... текст свёрнут, показать | | |
|
| |
| 9.105, rihad (?), 17:46, 22/03/2014 [^] [^^] [^^^] [ответить] | –1 +/– |  Если я правильно понял сабж, модуль может подгрузиться при любом входящем DCCP п... текст свёрнут, показать | | |
|
|
|
|
|
| 4.25, Аноним (-), 22:00, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
Что значит по умолчанию? Это же linux, тут нет ничего умолчательного. Я лично эту минорщину даже не собираю никогда.
| | |
| |
| 5.42, Аноним (-), 22:34, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Что значит по умолчанию? Это же linux, тут нет ничего умолчательного. Я
> лично эту минорщину даже не собираю никогда.
В *бунтах и дебиане этот модуль по дефолту тоже не активен. В openwrt - аналогично.
| | |
| |
| 6.56, Khariton (ok), 23:52, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
 ну сам по себе модуль есть...
cat /boot/config-3.11.0-18-lowlatency | grep DCCP
CONFIG_NF_CT_PROTO_DCCP=m
CONFIG_NF_NAT_PROTO_DCCP=m
CONFIG_NETFILTER_XT_MATCH_DCCP=m
CONFIG_IP_DCCP=m
CONFIG_INET_DCCP_DIAG=m
# DCCP CCIDs Configuration
# CONFIG_IP_DCCP_CCID2_DEBUG is not set
# CONFIG_IP_DCCP_CCID3 is not set
# DCCP Kernel Hacking
# CONFIG_IP_DCCP_DEBUG is not set
CONFIG_NET_DCCPPROBE=m
только вот вероятность его запуска какова?
надо его прописать в блэклист наверно для пущей уверенности...
| | |
| |
| 7.58, Аноним (-), 23:57, 19/03/2014 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> только вот вероятность его запуска какова?
Если у вас нет всяких умных морд к фаерволу - близка к нулю.
> надо его прописать в блэклист наверно для пущей уверенности...
Бессмысленно. blacklist используется в основном udevом, а он не занимается сетевыми протоколами.
| | |
|
|
|
|
|
| 2.9, vlikhachev (ok), 21:49, 19/03/2014 [ответить]
| +/– |
 А что, есть самураи, использующие DCCP через NAT в офисе?
"Use streaming media, multiplayer online games and Internet telephony"
Я, например, DCCP не использую на службе. Возможное исключение - SIP, но там внешние соединения ограничены серверами провайдеров (я их клиент, если что).
Вообще говоря, слушать радио онлайн и играть в инет игры для офиса несколько странно...
| | |
| |
| 3.81, Аноним (-), 09:07, 20/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> радио онлайн и играть в инет игры для офиса несколько странно...
Это совершенно не странно в Российских научных организациях. Потому и реорганизуют, собственно, что большинство традиционно мается бездельем. Но и тут сабж не при чем, ибо у всех почти поголовно стоит Windows.
| | |
| |
| 4.97, Аноним (-), 21:36, 20/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Это совершенно не странно в Российских научных организациях. Потому и реорганизуют, собственно, что большинство традиционно мается бездельем.
Нет. Реорганизуют и сокращают как раз тех, кто работает. Бездельников и распильщиков трогать низя, они самые ценные люди.
| | |
|
|
| 2.63, Аноним (-), 01:56, 20/03/2014 [ответить]
| +/– |
А представьте что в проприетарном закрытом коде творится! :)
| | |
|
| 1.3, nataraj (??), 21:34, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22 порт, то оно может через него пробраться?
А как на счет роутера с линуксом на борту? На нем тоже безобразия будут?
| | |
| |
| 2.22, Аноним (-), 21:56, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Объясните программисту, если сервер стоит за нат'ом и на него форвардится 22
> порт, то оно может через него пробраться?
Скорее всего, у вас натится только TCP/22. А значит, пробраться нельзя.
> А как на счет роутера с линуксом на борту? На нем тоже
> безобразия будут?
Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m" - значит, подвержено.
| | |
| |
| 3.44, Аноним (-), 22:37, 19/03/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Зависит от конфигурации ядра. Грепайте на CONFIG_NF_CT_PROTO_DCCP. Если оно "y" или "m"
> - значит, подвержено.
...если модуль вгружен. Несмотря на стремность бага я не смог найти ни 1 системы с этим модулем. Хм...
| | |
|
| 2.31, Аноним (31), 22:11, 19/03/2014 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Если на 22 порту использовать DCCP то может. Но обычно там используют SSH. Бояться нужно бардака с паролями, и 22 порт пробросить через порты выше 1000.
Проблемы поддержки dccp в Вашем роутере Вам не грозят, у Вас квалификации не хватит этот протокол там задействовать.
Позабавили вопросом однако. :)
| | |
| |
| 3.34, Аноним (-), 22:16, 19/03/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Если на 22 порту использовать DCCP то может. Но обычно там используют SSH.
> на 22 порту
> DCCP
> у Вас квалификации не хватит этот протокол там задействовать.
Сказал человек, только что перепутавший транспортный уровень с сетевым.
> Позабавили вопросом однако. :)
Да :)
| | |
| |
| 4.35, Аноним (-), 22:16, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Сказал человек, только что перепутавший транспортный уровень с сетевым.
*прикладным
> Да :)
Теперь и я тоже :)
| | |
|
|
|
| 1.7, AlexAT (ok), 21:46, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили каждый месяц.
blacklist dccp
blacklist nf_conntrack_dccp
blacklist xt_dccp
| | |
| |
| 2.18, Аноним (-), 21:53, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Гудбай, DCCP, еще лет 5 тому назад... когда в нем дыры находили
> каждый месяц.
> blacklist dccp
> blacklist nf_conntrack_dccp
> blacklist xt_dccp
Отличная шутка.
blacklist влияет только при автоматической подгрузке модулей через udev (а также ручной, если указан ключ -b).
На автоподгрузку модулей сетевых протоколов это никак не влияет.
| | |
| |
| 3.21, AlexAT (ok), 21:56, 19/03/2014 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Отличная шутка.
> blacklist влияет только при автоматической подгрузке модулей через udev (а также ручной,
> если указан ключ -b).
> На автоподгрузку модулей сетевых протоколов это никак не влияет.
Согласен, не панацея.
Поскольку конфиги у меня известные - я точно знаю, что автоподгрузка, к примеру, из iptables - не произойдёт. А вот на этапе начальной загрузки блеклист не мешает. На всякий случай.
Для полной уверенности, если конечно как модуль собрано:
find /lib/modules -iname \*dccp\* -delete
| | |
| 3.46, Аноним (-), 22:38, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> На автоподгрузку модулей сетевых протоколов это никак не влияет.
Осталось только найти где она делается и почему.
| | |
|
|
| 1.8, Аноним (-), 21:49, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
А как насчет роутеров с OpenWRT(да и не только!) на борту?
Даже если и выйдет патч/заплатка, как её применить без перепрошивки?
| | |
| |
| 2.29, Sonnix (ok), 22:09, 19/03/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Проверил на OpenWRT 12.09 и на текущем trunk. Он собран без поддержки dccp так что уязвимости не подвержен.
Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия dccp iptables выдаст unknown protocol "dccp" specified.
И в чем собственно великая проблема обновить прошивку?
| | |
| |
| 3.33, Аноним (-), 22:14, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Так же можно попробовать предложенный временный фикс на который в подтверждение отсутствия
> dccp iptables выдаст unknown protocol "dccp" specified.
Это зависит не от наличия модуля, а от наличия протокола в /etc/protocols.
Внутри netfilter протоколы транспортного уровня идентифицируются по номерам. Даже если есть модуль для протокола 33, при отсутствии нужной записи в protocols, iptables просто не поймет, что такое "-p dccp".
| | |
| |
| 4.37, Sonnix (ok), 22:25, 19/03/2014 [^] [^^] [^^^] [ответить]
| +3 +/– |
Из конфига ядра openwrt:
# CONFIG_NF_CT_PROTO_DCCP is not set
# CONFIG_NETFILTER_XT_MATCH_DCCP is not set
# CONFIG_IP_DCCP is not set
Так что по умолчанию поддержки быть не должно. Соответствующих модулей в собранной системе нет.
| | |
|
| 3.36, Аноним (-), 22:18, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> И в чем собственно великая проблема обновить прошивку?
Куча настроек на роутере, и сам роутер в удаленном филиале. Например.
| | |
| |
| 4.43, Sonnix (ok), 22:34, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
На одном из маршрутизаторов постоянно обновляю свежие снапшоты для тестирования. Проблем с сохранением и восстановлением настроек после прошивки нет.
Так же если есть удаленный доступ к маршрутизатору его можно прошить без физического доступа к устройству например по ssh через sysupgrade. sysupgrade так же умеет сохранять настройки при обновлении прошивки. Единственная проблема если что-то во время прошивки пойдет не так что без физического доступа возможно не получится восстановить маршрутизатор. Но никто не мешает до обновления проверить процесс прошивки на аналогичном устройстве к которому доступ есть.
| | |
| 4.47, Аноним (-), 22:43, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Куча настроек на роутере, и сам роутер в удаленном филиале. Например.
В openwrt есть режим сохранения настроек :-). Ну и если совсем уж прижало - можно образ кастомный собрать. Впрочем, для начала там по дефолту нет проблемного модуля - смысл чинить то что не сломано?
| | |
|
|
|
| 1.23, Аноним (-), 21:57, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
ЖУтко опасная. Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.
// b.
| | |
| |
| 2.32, Аноним (-), 22:11, 19/03/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Из 50 Линукс серверов на 0 машин стоит dccp connection tracker.
Суть новости в том, что так должно оставаться и дальше.
| | |
| |
| 3.49, Аноним (-), 22:46, 19/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> Суть новости в том, что так должно оставаться и дальше.
А зачем вам сетевые модули трекинга соединений "про запас"? Чтобы увеличить шансы на получение ручкой грабель в лоб?
| | |
|
|
| 1.54, emg81 (ok), 23:26, 19/03/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 $ zgrep -i dccp /proc/config.gz
# CONFIG_IP_DCCP is not set
раз не нужно - то выключено. и нет проблем.
| | |
| 1.75, arzeth (ok), 07:08, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 у меня 3.14-rc6 из гита, и в конфиге там по умолчанию CONFIG_IP_DCCP=m
| | |
| 1.77, Адекват (ok), 08:11, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 Ну что за уроды ? неужели трудно было в заголовке написать "DCCP ?", я вот подумал что в ядре открыли уязвимость, которая возникает, если ядро получит из инета специально сформированный пакет, не важно на какой порт, и что iptables ему не помеха, и сразу же дает удаленный шелл, который не видится netstat -ntul.
| | |
| |
| 2.82, Аноним (-), 09:16, 20/03/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну что за уроды ? неужели трудно было в заголовке написать "DCCP
> ?", я вот подумал что в ядре открыли уязвимость, которая возникает,
> если ядро получит из инета специально сформированный пакет, не важно на
> какой порт, и что iptables ему не помеха, и сразу же
> дает удаленный шелл, который не видится netstat -ntul.
Когда новость в Word-е на Windows XP лабаешь, рука сама тянется написать то, что написали.
| | |
| |
| 3.83, Аноним (-), 09:46, 20/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
Использовать нормальную CMS - это тоже wrong way. True way - это собирать HTML вручную, причем игнорировать достижения WEB дизайна за последние 30 лет.
| | |
| |
| 4.84, arisu (ok), 09:52, 20/03/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > причем игнорировать достижения WEB дизайна
вот это очень правильный способ. чем больше эти «достижения» игнорируются — тем лучше.
| | |
| |
| 5.95, Аноним (-), 21:32, 20/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
> вот это очень правильный способ. чем больше эти «достижения» игнорируются —
> тем лучше.
Будь не таким, как все! Борись с системой!
| | |
|
|
|
| 2.96, Аноним (-), 21:34, 20/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
> я вот подумал что в ядре открыли уязвимость, которая возникает,
> если ядро получит из инета специально сформированный пакет, не важно на
> какой порт, и что iptables ему не помеха, и сразу же
> дает удаленный шелл, который не видится netstat -ntul.
Вообще-то, все так и есть (за исключением iptables) :)
| | |
|
| |
| 2.99, Аноним (-), 00:32, 21/03/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> удалённая - да, опасная - нет
Кому и кобыла невеста. По линуксовым меркам, даже сабж уже событие. Потому что 99% обнаруживаемых там уязвимостей еще менее опасны на практике.
| | |
|
| 1.88, Аноним (-), 10:46, 20/03/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
- dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
+ dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);
:(
| | |
| |
| 2.91, vi (?), 14:38, 20/03/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
> + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);
> :(
Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
Кто прошляпил (может быть)?
| | |
| |
| 3.115, pavlinux (ok), 02:32, 23/03/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
>> + dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &_dh);
>> :(
> Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
> Кто прошляпил (может быть)?
Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/diff/net/netfi
commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e
Author: Patrick McHardy <kaber@trash.net>
Date: Thu Mar 20 15:15:55 2008 +0100
[NETFILTER]: nf_conntrack: add DCCP protocol support
Add DCCP conntrack helper.
Thanks to Gerrit Renker <gerrit@erg.abdn.ac.uk> for review and testing.
| | |
| |
| 4.117, vi (?), 16:03, 23/03/2014 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>>> :(
>> Кто автор предыдущего вот этого - dh = skb_header_pointer(skb, dataoff, sizeof(_dh), &dh);
>> Кто прошляпил (может быть)?
> Оно так и было, с 2008 года, http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/diff/net/netfi
> commit 2bc780499aa33311ec0f3e42624dfaa7be0ade5e
> Author: Patrick McHardy <kaber@trash.net>
> Date: Thu Mar 20 15:15:55 2008 +0100
> [NETFILTER]: nf_conntrack: add DCCP protocol support
> Add DCCP conntrack helper.
> Thanks to Gerrit Renker <gerrit@erg.abdn.ac.uk> for review and testing.
Видать у парня клавиша минус продавлена, наверное много кодит. Или крошка под клавишу закатилась!
Вот только один вопрос, как тестируют? Или главное ввязаться, а там само понесет?
Ведь бывают же случаи, напишет человек программу, а она возьми и с первого раза работает и без ошибок ;)
| | |
|
|
|
| 1.103, pavlinux (ok), 16:58, 21/03/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> iptables -t raw -I OUTPUT -p dccp -j NOTRACK
Кстате, а чё не POSTROUTING?
iptables -t raw -I POSTROUTING -p dccp -j NOTRACK
Выходящие из FORWARD проскакивают OUTPUT мимо.
| | |
|
