iptables: Only jump into BADTCP for TCP packets.
authorMichael Tremer <michael.tremer@ipfire.org>
Mon, 8 Jul 2013 13:17:56 +0000 (15:17 +0200)
committerMichael Tremer <michael.tremer@ipfire.org>
Fri, 9 Aug 2013 12:15:32 +0000 (14:15 +0200)
This saves us from evaluating lots of rules for non-TCP
packets.

src/initscripts/init.d/firewall

index 851f3ec6de00eba7014f0220f4ca76ea797216c1..000d3252d87cbdbbe7663f863fd8121d1732e521 100644 (file)
@@ -70,13 +70,13 @@ iptables_init() {
        # NEW TCP without SYN
        /sbin/iptables -A BADTCP -p tcp ! --syn -m conntrack --ctstate NEW -j NEWNOTSYN
 
+       /sbin/iptables -A INPUT   -p tcp -j BADTCP
+       /sbin/iptables -A FORWARD -p tcp -j BADTCP
+
        # Connection tracking chain
        /sbin/iptables -N CONNTRACK
        /sbin/iptables -A CONNTRACK -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
 
-       /sbin/iptables -A INPUT   -j BADTCP
-       /sbin/iptables -A FORWARD -j BADTCP
-
        # Fix for braindead ISP's
        /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu