Как дропать соединения мимо conntrack, через iptables напрямую?

Question

[Василий]

Собсно, сабж. хочется понять, каким образом это делается.

Answer 1

[Владимир]

дропать в таблице raw

Comments

[Василий]

благодарю

Answer 2

[EvilMan]

Как вариант, можно для данных пакетов в таблице raw применять -j CT --notrack, чтобы отключить для них обработку conntrack'ом, а потом дропать их где угодно по своему усмотрению, так как не все сопоставления доступны в таблице raw.

Comments

[Василий]

Спасибо :)
Хотел еще узнать. А зачем вообще делать такие вещи? Для чего?
Дело в том, что этот вопрос мне попался на собеседовании и стало интересно. Я давно с головой ушел в сети и руководство, так что для меня существование некоего conntrack стало сюрпризом и тем более не понятно, зачем его обходить.

[EvilMan]

Василий: Дело в том, что трассировка соединений не бесплатна, и вызывает некоторое повышение нагрузки. Особенно это заметно в случаях какого-нибудь DDoS'а или Syn-flood'а. Чтобы снизить нагрузку на ЦПУ, можно отключить трассировку соединений для некоторой части трафика (например, оставить трассировку только для транзитного трафика, для которого делается NAT, а для остального трафика - отключить, а сам фильтрацию сделать stateless). Вот как-то так.

[Василий]

EvilMan: Спасибо :)