Я использую Proxmox 2.2 (Debian squeeze 2.6.32-11-pve)
На данный момент я добавил около 60 правил в таблицу mangle iptables для блокировки атак. но когда я пытаюсь добавить новое правило, сервер перестает работать и больше не доступен (новое правило просто блокирует IP-адрес, и я не блокирую себя).
Нет специальных логов в /var/log/messages во время сбоя сервера, но я постоянно нахожу следующую ошибку в журнале сообщений:
nf_conntrack: таблица заполнена
Я модифицировал /etc/sysctl.conf и увеличил nf_conntrack_max номер, но проблема все еще существует.
Мне было интересно, связана ли эта неисправность с количеством правил в таблице искажений? Есть ли какие-то ограничения на количество правил в этой таблице?
Я уже потратил много времени на создание автоматического межсетевого экрана для своего сервера, и все это основано на таблице mangle.
Таблица nf_conntrack не содержит правил межсетевого экрана. Это таблица для данных отслеживания соединений. Вы можете увидеть, что там в файле /proc/net/ip_conntrack
Чтобы решить проблему с ограничением nf_conntrack, учтите следующее:
net.netfilter.nf_conntrack_max и net.nf_conntrack_max в /etc/sysctl.conf-j NOTRACK в правиле iptablesIptables не имеет разумного ограничения на количество правил, потому что он будет очень медленным даже с несколькими тысячами правил.