<p>Gah, pasted the wrong rule line.<br>
The iptables rule was actually</p>
<p>/sbin/iptables -A OUTPUT -p tcp --dport 80 -j REJECT</p>
<div class="gmail_quote">On Apr 8, 2013 9:19 AM, "Tyler Aviss" <<a href="mailto:tjaviss-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org">tjaviss-Re5JQEeQqe8AvxtiuMwx3w@public.gmane.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I've noticed that even when a rule exists to REJECT outgoing connections, it still takes about 3 seconds to process.<div>While DROP rules should depend on the timeout of the connecting app, shouldn't anything that is REJECT'ed be immediately blocked and end the connection attempt?</div>

<div><br></div><div><div># iptables -A OUTPUT  -m state --state INVALID -j REJECT</div><div># date; telnet 10.1.1.1 80; date</div><div>Mon Apr  8 09:08:40 PDT 2013</div><div>Trying 10.1.1.1...</div><div>telnet: connect to address <a href="http://10.1.1.1" target="_blank">10.1.1.1</a>: Connection refused</div>

<div>Mon Apr  8 09:08:43 PDT 2013</div><div><br></div><div>It always seems to be a solid 3 seconds. I don't remember this being the normal behaviour previously. Perhaps it's something that is configured somewhere?</div>

<div><br></div><div><br></div><div>RHEL-5.9</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div>-- <br>Tyler Aviss<br>Systems Support<br>LPIC/LPIC-2/DCTS/CLA<br><br>"Computers don't make mistakes. They can, however, execute those provided to them very quickly"
</div>
</blockquote></div>