Jak włączyć iptables bezstanowego?

17

Korzystam z serwera Linux, który od czasu do czasu napotyka duże obciążenie, a tabela conntrack przepełnia się. Ponieważ jest to zestaw reguł zapory sieciowej iptables, jest bardzo prosty, chciałbym go przełączyć w tryb bezstanowy. Wiem, że iptables może działać w trybie śledzenia połączenia stanowego oraz w trybie bezstanowym.

Moje reguły zapory są na miejscu. Jestem pewien, że są bezstanowe, ale mam pytanie, jak mogę sprawdzić, czy zapora naprawdę działa w trybie bezstanowym?

linux firewall iptables tex
źródło

Odpowiedzi:

19

Musisz określić niektóre reguły iptables, aby zapobiec konwertowaniu pakietów:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
profy
źródło
w rzeczywistości jest to „-t raw”, a nie „-t RAW”, ale to brakowało. Dziękuję Ci!
tex
2
Przepraszamy, ale to nie odpowiada na twoje pytanie, ponieważ było to „jak mogę sprawdzić , czy zapora sieciowa naprawdę działa w trybie bezstanowym”.
poige
Przepraszam za moje sformułowanie. Mój angielski nie jest doskonały, ale to było dokładnie rozwiązanie mojego problemu.
tex
4

cat /proc/net/ip_conntrack pokazuje wszystkie śledzenie połączeń.

Jeśli więc jest bezstanowy, wynik powyższego polecenia powinien być pusty.

(Alternatywnie, użyj cat /proc/net/nf_conntrack)

pepoluan
źródło
3

Zainstaluj conntrack i spójrz na dane wyjściowe. Jestem prawie pewien, że jeśli jesteś bezpaństwowcem, żadne połączenia nie będą wyświetlane.

Zoredache
źródło