나는 때때로 많은 양의로드에 직면하고 conntrack 테이블이 오버플로되는 Linux 서버를 실행하고 있습니다. iptables 방화벽 규칙 세트는 매우 간단하기 때문에 상태 비 저장 모드로 전환하고 싶습니다. iptables는 상태 저장 연결 추적 모드 및 상태 비 저장 모드에서 작동 할 수 있다는 것을 알고 있습니다.
내 방화벽 규칙이 모두 제자리에 있다는 것이 확실합니다. 그러나 이것이 방화벽이 실제로 상태가없는 모드에서 작동하는지 확인하는 방법은 무엇입니까?
답변
패킷이 연결되지 않도록 일부 iptables 규칙을 지정해야합니다.
iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
답변
cat /proc/net/ip_conntrack 모든 연결 추적을 보여줍니다.
따라서 상태가없는 경우 위 명령의 출력은 비어 있어야합니다.
(또는 사용 cat /proc/net/nf_conntrack)