113: No route to host

[Andrey Repin]

Здравствуйте, Уважаемый(-ая, -ое) Dmitry Y. Labutin!

>> -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -j ACCEPT
>> -A RH-Firewall-1-INPUT -m tcp -p tcp -s a.a.a.a --dport 80 -j REJECT --reject-with tcp-reset
>>
>> вот эта сексуальная позиция не несёт никакого смысла, убедиться легко,
>> посмотрев на iptables -vL после пары часов работы системы - во втором правиле
>> не будет ни единого пакета.

DYL> Может быть я не совсем точно выразил то, что хотел сказать.
DYL> Да, в указанном случае действительно во второе правило уже ничего не 
DYL> приходит. Я его поставил для подстраховки.
DYL> А вот если оставить так:
DYL> -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j 
DYL> ACCEPT

DYL> то iptables -vL ПОКАЗЫВАЕТ пакеты, которые попадают во второе правило :((
DYL> Как это происходит? Я не знаю. И это не только у меня так.

>> -A RH-Firewall-1-INPUT -m state --state INVALID -j DROP

DYL> На другом форуме тоже высказали, что это могут быть INVALID пакеты.
DYL> Но мне помогло именно:
DYL> -A RH-Firewall-1-INPUT -m tcp -p tcp --dport 80 -j ACCEPT

DYL> Сегодня попробую поставить правило с INVALID пакетами и посмотрю, как 
DYL> nginx на fronend будет реагировать, когда они будут дропаться.

Тут не столько "как реагирует фронт", сколько "что вообще за пакеты валятся в
лог".
В вашей статье этого не было.
Просто для разминки могу предположить, что это подтверхдения закрытия сокета.
(ACK,FIN) - как-то так.


-- 
С уважением

    Andrey Repin (hell-for-yahoo на umail.ru) среда, 11.07.2012, <14:36>