<![CDATA[Snooda]]> http://www.snooda.com/index zh-cn http://www.snooda.com/read/ <![CDATA[iptables规则延迟生效/不生效问题-conntrack]]> snooda <admin@snooda.com> Wed, 21 Jul 2021 12:04:39 +0000 http://www.snooda.com/read/
后来研究了一下,发现原来对于iptables的nat表来讲,只有连接新建时,才会查表进行一次匹配。当连接被conntrack后,就不再走nat表匹配了。
对于icmp来讲,默认conntrack会保留30s,所以如果添加规则前30s如果ping了一下。那么添加完并不会生效已有的。。。。反之亦然。
可以使用conntrack -E作为验证手段。该命令会打印conntrack模块对连接的跟踪情况。

如果想手动移除映射关系,可以使用conntrack -D
Tags - , ]]> http://www.snooda.com/read/#blogcomment <![CDATA[[评论] iptables规则延迟生效/不生效问题-conntrack]]> <user@domain.com> Thu, 01 Jan 1970 00:00:00 +0000 http://www.snooda.com/read/#blogcomment