Si vous droppez votre trafic réseau sortant (par exemple pour pas qu'il sorte en dehors de votre VPN lorsque celui-ci flappe ou se monte au démarrage / sortie d'hibernation), pensez à ajouter ceci à la fin de votre jeu de règles :
iptables -t filter -A OUTPUT -m comment --comment "reject all for no timeout" -j REJECT --reject-with icmp-admin-prohibited
ip6tables -t filter -A OUTPUT -m comment --comment "reject all for no timeout" -j REJECT --reject-with icmp6-adm-prohibited
Cela permet de ne pas laisser attendre les programmes jusqu'à l'expiration du timeout (DROP ignore silencieusement ;) ) ni les laisser faire leurs multiples tentatives -> gain de vitesse (sur dnssec-trigger, par exemple).
Sun Aug 16 19:22:53 2015 - permalink -
-
http://shaarli.guiguishow.info/?AYCgSg