Як перетворити iptables без громадянства?

17

Я запускаю Linux-сервер, який час від часу стикається з великим навантаженням, і таблиця conntrack переповнюється. Оскільки набір правил брандмауера iptables дуже простий, я хотів би перевести його в режим без стану. Я знаю, що iptables можуть працювати в режимі відстеження з'єднань і в режимі без стану.

Мої правила брандмауера все на місці. Я майже впевнений, що вони без статусу, але питання у мене полягає в тому, як я можу перевірити, що брандмауер дійсно працює в режимі без стану?

linux  firewall  iptables 
текс
джерело

Відповіді:

19

Вам потрібно вказати деякі правила iptables, щоб запобігти повторному опрацюванню пакетів:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
проф
джерело
насправді це "-t raw", а не "-t RAW", але це була відсутність pice. Дякую!
текс
2
Вибачте, але це не відповідає на ваше запитання, оскільки було "як я можу перевірити , чи дійсно брандмауер працює в режимі без стану".
poige
Вибачте, будь ласка, мою формулювання. Моя англійська мова не є досконалою, але саме це було вирішенням моєї проблеми.
текс
4

cat /proc/net/ip_conntrack показує все відстеження з'єднання.

Отже, якщо він без стану, вихід з вищевказаної команди повинен бути порожнім.

(Як варіант, використовувати cat /proc/net/nf_conntrack)

пеполуан
джерело
3

Встановіть conntrack і подивіться на вихід. Я майже впевнений, що якщо ви без громадянства, жодне з'єднання не відображатиметься.

Зоредаче
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.