ForkMaster/zapret
1
0
Fork 0
mirror of https://github.com/bol-van/zapret.git synced 2025-01-06 08:20:34 +05:00
Code Issues Actions Packages Projects Releases Wiki Activity

readme: more ipfrag notices

Browse Source
This commit is contained in:
bol-van 2022-01-11 10:57:30 +03:00
parent 41128b46d0
commit 2c0321be46
1 changed files with 7 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

7
docs/readme.txt
View File

@ -438,7 +438,14 @@ ipv6 : Нет способа для приложения гарантирова
Для ядер <4.16 похоже, что нет иного способа решить эту проблему, кроме как выгрузить модуль nf_conntrack, Для ядер <4.16 похоже, что нет иного способа решить эту проблему, кроме как выгрузить модуль nf_conntrack,
который подтягивает зависимость nf_defrag_ipv6. Он то как раз и выполняет дефрагментацию. который подтягивает зависимость nf_defrag_ipv6. Он то как раз и выполняет дефрагментацию.
Для ядер 4.16+ ситуация чуть лучше. Из дефрагментации исключаются пакеты в состоянии NOTRACK. Для ядер 4.16+ ситуация чуть лучше. Из дефрагментации исключаются пакеты в состоянии NOTRACK.
На практике это работает для цепочки OUTPUT.
Чтобы не загромождать описание, смотрите пример решения этой проблемы в blockcheck.sh. Чтобы не загромождать описание, смотрите пример решения этой проблемы в blockcheck.sh.
Что касается forwarding, чтобы избежать дефрагментации потребуется залезть еще глубже.
Может понадобиться загружать модули iptable_raw и ip6table_raw с параметром raw_before_defrag и
переводить в состояние NOTRACK нужные пакеты. Но тем самым вы сломаете NAT и другие stateful операции.
Для ipv6 может сработать, поскольку для ipv6 NAT обычно не делается.
Вы должны очень хорошо понимать что вы делаете и уметь тщательно проверить что у вас получилось.
https://github.com/torvalds/linux/commit/902d6a4c2a4f411582689e53fb101895ffe99028
tpws tpws