Как превратить iptables без гражданства?

17

Я использую сервер Linux, который время от времени сталкивается с большой нагрузкой и переполнением таблицы conntrack. Так как это набор правил брандмауэра iptables очень прост, я бы хотел перевести его в режим без сохранения состояния. Я знаю, что iptables может работать в режиме отслеживания соединения с сохранением состояния и в режиме без сохранения состояния.

У меня все правила брандмауэра есть, я уверен, что они не сохраняют состояние, но мой вопрос - как я могу убедиться, что брандмауэр действительно работает в режиме без сохранения состояния?

текс
источник

Ответы:

19

Вам нужно указать некоторые правила iptables, чтобы предотвратить перехват пакетов:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
Profy
источник
на самом деле это "-t raw", а не "-t RAW", но это была недостающая часть. Спасибо!
текс
2
Извините, но это не отвечает на ваш вопрос, так как это было «как я могу убедиться, что брандмауэр действительно работает в режиме без сохранения состояния»?
Пой
Пожалуйста, извините мою формулировку. Мой английский не идеален, но это было как раз решение моей проблемы.
текс
4

cat /proc/net/ip_conntrack показывает все отслеживание соединения.

Таким образом, если он не имеет состояния, вывод вышеуказанной команды должен быть пустым.

(Или используйте cat /proc/net/nf_conntrack)

pepoluan
источник
3

Установите conntrack и посмотрите на вывод. Я уверен, что если вы не сохраняете состояние, никакие соединения не будут отображаться.

Zoredache
источник