Làm thế nào để biến iptables không quốc tịch?

17

Tôi đang chạy một máy chủ Linux - thỉnh thoảng phải đối mặt với tải nặng và bảng conntrack tràn ra. Vì quy tắc tường lửa iptables rất đơn giản nên tôi muốn chuyển nó sang chế độ không trạng thái. Tôi biết rằng iptables có thể hoạt động ở chế độ theo dõi kết nối trạng thái và ở chế độ không trạng thái.

Các quy tắc tường lửa của tôi hoàn toàn phù hợp Tôi chắc chắn rằng chúng không trạng thái nhưng câu hỏi của tôi là làm cách nào để xác minh rằng tường lửa thực sự hoạt động ở chế độ không trạng thái?

linux  firewall  iptables 
tex
nguồn

Câu trả lời:

19

Bạn cần chỉ định một số quy tắc iptables để ngăn chặn các gói bị khóa:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
thông thạo
nguồn
thực ra nó là "-t raw" chứ không phải "-t RAW" nhưng đó là pice còn thiếu. Cảm ơn bạn!
tex
2
Xin lỗi, nhưng điều này không trả lời câu hỏi của bạn vì đó là "làm thế nào tôi có thể xác minh rằng tường lửa thực sự hoạt động ở chế độ không trạng thái" thực sự.
poige
Xin thứ lỗi cho từ ngữ của tôi. Tiếng Anh của tôi không hoàn hảo, nhưng đó chính xác là giải pháp cho vấn đề của tôi.
tex
4

cat /proc/net/ip_conntrack hiển thị tất cả theo dõi kết nối.

Vì vậy, nếu nó không trạng thái, đầu ra của lệnh trên sẽ trống.

(Cách khác, sử dụng cat /proc/net/nf_conntrack)

pepoluan
nguồn
3

Cài đặt conntrack , và nhìn vào đầu ra. Tôi khá chắc chắn nếu bạn không trạng thái sẽ không có kết nối nào được hiển thị.

Zoredache
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.