модуль string, кто использует?
 

есть надежда что где-то что-то, я все таки упустил
но пока, навскидку вроде бы баг
не срабатывает в пользовательских цепочках, только в штатных

iptables-1.4.7-4.el6.i686, kernel-2.6.32-220.4.1.el6.i686

кому не лень проверьте

iptables v1.4.12.1
в основной таблице, после команды
[code]iptables -I FORWARD -p tcp -m string --string "HTTP" --algo kmp -j mynet_frwd[/code][quote]
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
99 50635 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "HTTP" ALGO name kmp TO 65535[/quote]
в пользовательской, после команды
[code]iptables -I mynet_frwd -p tcp -m string --string "HTTP" --algo kmp -j ACCEPT[/code]
[quote]Chain mynet_frwd (1 references)
pkts bytes target prot opt in out source destination
49 33206 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 STRING match "HTTP" ALGO name kmp TO 65535[/quote]

Мож у тя до той цепочки не доходит ничего или условия какие извратные?
ЗЫ: у мя kernel 3.1.10-gentoo-r1 =)

бред какой-то, у меня в пользовательских по нулям

первая команда была: [code]iptables -I FORWARD -p tcp -m string --string "HTTP" --algo kmp -j ACCEPT[/code]
если это вообще кого-то возмутило =) прост тестил, не пользовалсо ни разу этим матчем

3-droidman > все доходит, а вот string не срабатывает

мож обновишь iptables? прост он у тя почти двухлетней давности

это нет, только из репозитария, из-за второстепенного функционала рисковать - не мое

и все таки недоглядел....
переход в цепочку был после правила приема по состоянию
разруха

а все началось с того что сняли winroute, мой шлюз встал с его адресом, хостов там под сотню, и у некоторых прописан скрипт автонастройки прокси gw.ip:3128/pac/proxy.pac, олин такой запрос заканчивается глубокой рекурсией) не фатально, но неприятно, cache.log вырастает на 8МБ
захотел костыль приделать пока хозяева раскачаются, и вот.... проглядел

shorewall, еси впадлу помнить шо куда идёт)
lighttpd, шобы отдавать .pac

в сад всякие нашлепки-свистелки, мне так привычнее, просто "глаз замылился", со всеми бывает
[em]lighttpd, шобы отдавать .pac[/em]
зачем? у меня апач прекрасно раздает скрипт автонастройки

и кстати, droidman, спасибо что откликнулся) добрый человек)
не лень же было

из [url]https://www.google.com/search?q=squid+%2Fpac%2Fproxy.pac+redirect+to+apache&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:ru:official&client=firefox[/url]

нашел

[url]http://wiki.squid-cache.org/SquidFaq/ConfiguringBrowsers[/url]

где прочел про

Redirect /wpad.dat [url]http://example.com/proxy.pac[/url]

показалось правильной мыслью

[em]Redirect /wpad.dat [url]http://example.com/proxy.pac[/url]
показалось правильной мыслью[/em]
показалось

почему? (рекурсии же нет тут)

разве задача была не в том, чтобы дать автонастройку?

или было лютое желание сделать автонастройку не через сквид?

возможно у меня что-то с головой,
но не улавливаю практической пользы в инструкции redirect для апача # в данном контексте

[em]разве задача была не в том, чтобы дать автонастройку?[/em]
нет

[em]или было лютое желание сделать автонастройку не через сквид?[/em]
"То, что [b]было[/b] с нею, [b]было или нет[/b]?!
Хоакин, послушай... смерть взяла наш след
Все, что [b]было[/b], [b]было[/b] как вчерашний дым
С молодым тобою, не стобой седым.
Не [b]было[/b] и [b]было[/b], не стобой"

ну Apache для отдачи 1 файла - жестоко) и жрёт он дофига) можно какойнть "simplehttpd"-процесс, шобы жрал от силы 100-200к памяти)

а shorewall - как раз шобы не помнить миллиард цепочек и переходов, он как c++ если брать iptables как assembler ;)

18-droidman > слушай, я [u]обязательно[/u] должен расписать для чего у меня апач, кроме отдачи одного файла?
что-то вас граждане на коллективные фантазии начало развозить, не к добру это

18-droidman > если злободневная задача сэкономить, рекомендую thttpd посмотреть

та не переживай так) я ж не со зла советую)

да как-то не до переживаний, проблема почти сутки как закрыта, а рецепты все поступают)
и мне, на самом деле, ассемблер проще и понятнее, чем цэ++