Я использую Linux-сервер, который время от времени сталкивается с большой нагрузкой и переполнением таблицы conntrack. Поскольку набор правил брандмауэра iptables очень прост, я бы хотел перевести его в режим без сохранения состояния. Я знаю, что iptables может работать в режиме отслеживания соединений с отслеживанием состояния и в режиме без сохранения состояния.
У меня все правила брандмауэра, я почти уверен, что они не сохраняют состояние, но мой вопрос: как я могу проверить, действительно ли брандмауэр работает в режиме без сохранения состояния?
Вам необходимо указать некоторые правила iptables, чтобы предотвратить отслеживание пакетов:
iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
cat /proc/net/ip_conntrack
показывает все отслеживание соединений.
Итак, если он не имеет состояния, вывод приведенной выше команды должен быть пустым.
(В качестве альтернативы используйте cat /proc/net/nf_conntrack
)
Установить Conntrackи посмотрите на результат. Я почти уверен, что если у вас нет гражданства, никакие соединения отображаться не будут.