Verursacht die Verwendung des iptables-DROP-Ziels, dass TCP CLOSE_WAIT nie abgeschlossen wird?

Ich habe einige einfache Regeln zum Blockieren bestimmter IP-Blöcke, die häufig von Hackern / Spammern verwendet werden, z.

iptables -A INPUT -s 173.208.250.0/24 -j DROP

Aber ich bemerkte, dass Apache nach ein paar Tagen hängen bleibt und viele CLOSE_WAITs in der Netstat-Ausgabe angezeigt werden, die niemals verschwinden:

\# netstat -atlpn
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        1      0 ::ffff:10.0.0.107:80        ::ffff:63.141.243.26:50813  CLOSE_WAIT  29125/httpd

Könnte dies durch die Angabe des DROP-Ziels in der Regel verursacht werden? Soll ich stattdessen REJECT verwenden?

Nein. Dies bedeutet, dass das entfernte Ende die Verbindung geschlossen hat, aber lokal noch nicht geschlossen wurde.

Wenn Sie den gesamten Datenverkehr von einer Quelle löschen, werden keine Verbindungen von dort hergestellt, mit denen Sie verbunden sind.