Как вы блокируете новые входящие TCP-соединения на X-порту? Это нужно сделать с помощью iptables. На самом деле у меня есть рабочая команда iptables, но мы всегда достигаем ip_conntrack_max, даже когда ip_conntrack_max установлен на очень высокое значение. Есть способ сделать это без отслеживания?
Если вы хотите заблокировать попытки установить новые сеансы на данный порт, но все же разрешить пакеты для установленных сеансов, вам нужно будет сделать что-то вроде:
iptables -A INPUT -j DROP -p tcp --syn --destination-port порт
Это должно разрешить любое соединение, инициированное с локального компьютера, которое использует порт как номер локального порта.
это должно блокировать трафик без использования conn_track:
iptables -A INPUT -j DROP -p tcp --destination-port <your port>
отслеживание соединений должно выполнять свою работу только тогда, когда вы указываете -m state или --state в ваших правилах.
Удаление --syn остановит новые соединения, и не должно быть никаких полуоткрытых соединений для отслеживания. В целом фильтрация "без отслеживания" возможна на -t raw -I PREROUTING этап.
Вы можете принимать все, кроме SYN-пакетов. Один из способов сделать это:
iptables -A INPUT -p tcp '!' --syn --destination-port <your-port> -j ACCEPT