需要删除与 iptables 建立的连接

Question

需要删除与 iptables 建立的连接

Whi*_*hat 5 linux networking firewall tcp iptables

出于应用程序测试目的，我需要模拟一种情况，状态防火墙因超时而断开从客户端到服务器的已建立 TCP 连接。我在 Virtualbox 中安装了 3 个来宾虚拟机：

客户端，网络1 IP：10.0.2.110
防火墙，网络1 ip：10.0.2.5，网络2 ip：10.0.3.5
服务器，网络2 IP：10.0.3.6

客户端和服务器是 Fedora19，禁用了 iptables 防火墙是 Ubuntu 13.10，具有以下设置：

猫 /etc/iptables.conf

*filter
:INPUT ACCEPT [201:13136]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [110:14472]
-A FORWARD -j LOG --log-prefix "[netfilter] "
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -p tcp -m tcp --dport 2000 -m state --state NEW -j ACCEPT
-A FORWARD -j DROP
COMMIT

Run Code Online (Sandbox Code Playgroud)

sysctl net.netfilter

...
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 30
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 120
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 30
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 30
...

Run Code Online (Sandbox Code Playgroud)

使用此设置，conntrack|iptables 应在 30 秒不活动后删除已建立的 TCP 连接。为了运行测试，我在服务器上设置了“服务器”：

# ncat -l 2000 --keep-open --exec "/bin/cat"

Run Code Online (Sandbox Code Playgroud)

并在客户端上使用 telnet 连接：

$ telnet 10.0.3.6 2000
Trying 10.0.3.6...
Connected to 10.0.3.6.
Escape character is '^]'.

Run Code Online (Sandbox Code Playgroud)

在 iptables 日志中，我得到正常的 TCP 握手：

Dec  2 12:24:23 ubuntu kernel: [ 5231.169804] [netfilter] IN=eth0 OUT=eth1 MAC=08:00:27:b8:68:9f:08:00:27:4f:ee:15:08:00 SRC=10.0.2.110 DST=10.0.3.6 LEN=60 TOS=0x10 PREC=0x00 TTL=63 ID=44926 DF PROTO=TCP SPT=47899 DPT=2000 WINDOW=29200 RES=0x00 SYN URGP=0
Dec  2 12:24:23 ubuntu kernel: [ 5231.170489] [netfilter] IN=eth1 OUT=eth0 MAC=08:00:27:00:72:8c:08:00:27:74:b7:df:08:00 SRC=10.0.3.6 DST=10.0.2.110 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=TCP SPT=2000 DPT=47899 WINDOW=28960 RES=0x00 ACK SYN URGP=0
Dec  2 12:24:23 ubuntu kernel: [ 5231.171315] [netfilter] IN=eth0 OUT=eth1 MAC=08:00:27:b8:68:9f:08:00:27:4f:ee:15:08:00 SRC=10.0.2.110 DST=10.0.3.6 LEN=52 TOS=0x10 PREC=0x00 TTL=63 ID=44927 DF PROTO=TCP SPT=47899 DPT=2000 WINDOW=229 RES=0x00 ACK URGP=0

Run Code Online (Sandbox Code Playgroud)

建立连接后，我使用 telnet 和# conntrack -L命令发送多个数据包，我得到：

tcp      6 24 ESTABLISHED src=10.0.2.110 dst=10.0.3.6 sport=47899 dport=2000 src=10.0.3.6 dst=10.0.2.110 sport=2000 dport=47899 [ASSURED] mark=0 use=1

Run Code Online (Sandbox Code Playgroud)

在 iptables 日志中我得到：

Dec  2 12:24:38 ubuntu kernel: [ 5245.917564] [netfilter] IN=eth0 OUT=eth1 MAC=08:00:27:b8:68:9f:08:00:27:4f:ee:15:08:00 SRC=10.0.2.110 DST=10.0.3.6 LEN=55 TOS=0x10 PREC=0x00 TTL=63 ID=44928 DF PROTO=TCP SPT=47899 DPT=2000 WINDOW=229 RES=0x00 ACK PSH URGP=0
Dec  2 12:24:38 ubuntu kernel: [ 5245.917961] [netfilter] IN=eth1 OUT=eth0 MAC=08:00:27:00:72:8c:08:00:27:74:b7:df:08:00 SRC=10.0.3.6 DST=10.0.2.110 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=36952 DF PROTO=TCP SPT=2000 DPT=47899 WINDOW=227 RES=0x00 ACK URGP=0
Dec  2 12:24:38 ubuntu kernel: [ 5245.918326] [netfilter] IN=eth1 OUT=eth0 MAC=08:00:27:00:72:8c:08:00:27:74:b7:df:08:00 SRC=10.0.3.6 DST=10.0.2.110 LEN=55 TOS=0x00 PREC=0x00 TTL=63 ID=36953 DF PROTO=TCP SPT=2000 DPT=47899 WINDOW=227 RES=0x00 ACK PSH URGP=0
Dec  2 12:24:38 ubuntu kernel: [ 5245.918535] [netfilter] IN=eth0 OUT=eth1 MAC=08:00:27:b8:68:9f:08:00:27:4f:ee:15:08:00 SRC=10.0.2.110 DST=10.0.3.6 LEN=52 TOS=0x10 PREC=0x00 TTL=63 ID=44929 DF PROTO=TCP SPT=47899 DPT=2000 WINDOW=229 RES=0x00 ACK URGP=0

Run Code Online (Sandbox Code Playgroud)

那也没关系。

接下来，我等待几分钟并检查是否# conntrack -L返回一个空表，然后我使用 telnet 发送更多数据包并期望它冻结或显示类似“连接已关闭”之类的内容，但是令我惊讶的是，连接实际上并未关闭并且我在 iptables 日志中收到这样的消息：

Dec  2 12:29:51 ubuntu kernel: [ 5558.925402] [netfilter] IN=eth0 OUT=eth1 MAC=08:00:27:b8:68:9f:08:00:27:4f:ee:15:08:00 SRC=10.0.2.110 DST=10.0.3.6 LEN=55 TOS=0x10 PREC=0x00 TTL=63 ID=44930 DF PROTO=TCP SPT=47899 DPT=2000 WINDOW=229 RES=0x00 ACK PSH URGP=0
Dec  2 12:29:51 ubuntu kernel: [ 5558.925927] [netfilter] IN=eth1 OUT=eth0 MAC=08:00:27:00:72:8c:08:00:27:74:b7:df:08:00 SRC=10.0.3.6 DST=10.0.2.110 LEN=55 TOS=0x00 PREC=0x00 TTL=63 ID=36954 DF PROTO=TCP SPT=2000 DPT=47899 WINDOW=227 RES=0x00 ACK PSH URGP=0
Dec  2 12:29:51 ubuntu kernel: [ 5558.926237] [netfilter] IN=eth0 OUT=eth1 MAC=08:00:27:b8:68:9f:08:00:27:4f:ee:15:08:00 SRC=10.0.2.110 DST=10.0.3.6 LEN=52 TOS=0x10 PREC=0x00 TTL=63 ID=44931 DF PROTO=TCP SPT=47899 DPT=2000 WINDOW=229 RES=0x00 ACK URGP=0

Run Code Online (Sandbox Code Playgroud)

没有 TCP 握手，这可能表明 telnet 默默地重新建立了连接，与之前的日志没有区别，其中连接是根据 conntrack 建立的。

我怎样才能真正让 iptables 在 30 秒不活动后关闭已建立的连接？

Answer 1

flo*_*ack 2

这可能不是答案，但对行为的一些解释： ip_conntrack 似乎尝试分配内部客户端在外部接口上再次使用的相同源端口（如果可用）。这意味着，即使在完全擦除 conntrack 表之后，它也会在同一端口上“透明地”重新建立，并且 TCP 不会出现中断。实际上你可以将其视为一项功能。

要验证此行为，您需要 2 个具有相同源端口的客户端连接到外部世界，然后再次看到 conntrack（很难进行模拟，因为操作系统自由分配源端口号）。那么你应该得到 2 个不同的端口号。只有在这种情况下，TCP 连接可能会意识到同时发生了某些事情（在大多数情况下连接将关闭）...

归档时间：	11 年，11 月前
查看次数：	10518 次
最近记录：	8 年，8 月前