Wie man iptables zustandslos macht?


17

Ich betreibe einen Linux-Server, der von Zeit zu Zeit stark ausgelastet ist und die Conntrack-Tabelle überläuft. Da es sich um einen sehr einfachen iptables-Firewall-Regelsatz handelt, möchte ich ihn in den zustandslosen Modus versetzen. Ich weiß, dass iptables im statusbehafteten Verbindungsverfolgungsmodus und im zustandslosen Modus betrieben werden kann.

Meine Firewall-Regeln sind alle vorhanden. Ich bin mir ziemlich sicher, dass sie zustandslos sind. Meine Frage ist jedoch, wie ich überprüfen kann, ob die Firewall wirklich im zustandslosen Modus arbeitet.

Antworten:


19

Sie müssen einige iptables-Regeln angeben, um zu verhindern, dass Pakete verfolgt werden:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK

Eigentlich ist es "-t raw" und nicht "-t RAW", aber das war das fehlende Teil. Vielen Dank!
tex

2
Entschuldigung, aber dies beantwortet Ihre Frage nicht, da es sich tatsächlich um "Wie kann ich überprüfen, ob die Firewall wirklich im zustandslosen Modus arbeitet" handelt.
Poige

Entschuldigen Sie bitte meinen Wortlaut. Mein Englisch ist nicht perfekt, aber das war genau die Lösung für mein Problem.
Tex

4

cat /proc/net/ip_conntrack zeigt alle Verbindungsverfolgung.

Wenn es also zustandslos ist, sollte die Ausgabe des obigen Befehls leer sein.

(Alternativ verwenden Sie cat /proc/net/nf_conntrack)


3

Installieren Sie conntrack und schauen Sie sich die Ausgabe an. Ich bin mir ziemlich sicher, dass keine Verbindungen angezeigt werden, wenn Sie staatenlos sind.

Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.