Будет ли использование цели iptables DROP вызывать TCP CLOSE_WAIT, который никогда не завершится?

Question

У меня есть несколько простых правил для блокировки определенных IP-блоков, часто используемых хакерами / спамерами, например:

iptables -A INPUT -s 173.208.250.0/24 -j DROP

Но я заметил, что apache зависает через пару дней, и многие выходные данные CLOSE_WAIT отображаются в выводе netstat, которые никогда не исчезают:

\# netstat -atlpn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        1      0 ::ffff:10.0.0.107:80        ::ffff:63.141.243.26:50813  CLOSE_WAIT  29125/httpd

Может ли это быть вызвано указанием цели DROP в правиле? Должен ли я использовать вместо этого REJECT?

Answer 1

Нет. Это означает, что дальний конец закрыл соединение, но локально он еще не был закрыт.

Удаление всего трафика из источника означает, что никакие соединения оттуда не будут установлены, чтобы быть с.