Назад | Перейти на главную страницу

Как отключить состояние iptables?

Я использую Linux-сервер, который время от времени сталкивается с большой нагрузкой и переполнением таблицы conntrack. Поскольку набор правил брандмауэра iptables очень прост, я бы хотел перевести его в режим без сохранения состояния. Я знаю, что iptables может работать в режиме отслеживания соединений с отслеживанием состояния и в режиме без сохранения состояния.

У меня все правила брандмауэра, я почти уверен, что они не сохраняют состояние, но мой вопрос: как я могу проверить, действительно ли брандмауэр работает в режиме без сохранения состояния?

Вам необходимо указать некоторые правила iptables, чтобы предотвратить отслеживание пакетов:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK

cat /proc/net/ip_conntrack показывает все отслеживание соединений.

Итак, если он не имеет состояния, вывод приведенной выше команды должен быть пустым.

(В качестве альтернативы используйте cat /proc/net/nf_conntrack)

Установить Conntrackи посмотрите на результат. Я почти уверен, что если у вас нет гражданства, никакие соединения отображаться не будут.