2. 程式人生 > >Iptables之conntrack連線跟蹤模組

Iptables之conntrack連線跟蹤模組

阿新 發佈:2019-01-15

Iptables是有狀態機制的防火牆,通過conntrack模組跟蹤記錄每個連線的狀態,通過它可制定嚴密的防火牆規則。
可用狀態機制:

1
2
3
4
5

#http://blog.onovps.com
NEW #新連線資料包
ESTABLISHED #已連線資料包
RELATED #和出有送的資料包
INVALID #無效資料包

conntrack預設最大跟蹤65536個連線,檢視當前系統設定最大連線數:
1

cat /proc/sys/net/ipv4/ip_conntrack_max

檢視當前跟蹤連線數:
1

cat /proc/net/ip_conntrack|wc -l

當伺服器連線多於最大連線數時會出現kernel: ip_conntrack: table full, dropping packet的錯誤。
解決方法,修改conntrack最大跟蹤連線數:
1
2

vim /etc/sysctl.conf #新增以下內容
net.ipv4.ip_conntrack_max = 102400

立即生效:
1

sysctl -p

為防止重啟Iptables後變為預設,還需修改模組引數:
1
2

vim /etc/modprobe.conf #新增以下內容
options ip_conntrack hashsize=12800 #值為102400/8

一勞永逸的方法,設定Iptables禁止對連線數較大的服務進行跟蹤:
1
2
3
4

#http://blog.onovps.com
iptables -A INPUT -m state --state UNTRACKED,ESTABLISHED,RELATED -j ACCEPT
iptables -t raw -A PREROUTING -p tcp --dport 80 -j NOTRACK
iptables -t raw -A OUTPUT -p tcp --sport 80 -j NOTRACK

http://blog.onovps.com/archives/iptables-conntrack-max.html

相關推薦

Iptablesconntrack連線跟蹤模組

Iptables是有狀態機制的防火牆,通過conntrack模組跟蹤記錄每個連線的狀態,通過它可制定嚴密的防火牆規則。 可用狀態機制: 1 2 3 4 5 #http://blog.onovps.com NEW #新連線資料包 ESTABLISHED #已連線資料

Linux netfilter 學習筆記 七 ip層netfilter的連線跟蹤模組的概念及相關的資料結構分析

核心版本 2.6.21 連線跟蹤(CONNTRACK)就是跟蹤並且記錄連線狀態。包括 TCP 、UDP、ICMP  等協議型別的連線。其主要是判斷該資料包是什麼狀態。根據資料包的源ip地址、目的ip地址、源埠、目的埠、協議號來確定一條連線。 因為連線跟蹤支援TCP

Linux netfilter 學習筆記 八 ip層netfilter的連線跟蹤模組初始化

基於linux2.6.21 在上一節中分析了連線跟蹤模組相關的資料結構,本節就開始分析連線跟蹤模組相關的初始化,下一節理解連線跟蹤模組的hook機制。 在分析連線跟蹤模組程式碼之前,先說明幾點: 1.連線跟蹤模組的helper結構能夠實現期望連線的建立以及相關協議的ALG

(六)洞悉linux下的Netfilter&iptables:如何理解連線跟蹤機制?(2)

Netfilter連線跟蹤的詳細流程     上一篇我們瞭解了連線跟蹤的基本框架和大概流程,本篇我們著重分析一下,資料包在連線跟蹤系統裡的旅程,以達到對連線跟蹤執行原理深入理解的目的。     連線跟蹤機制在Netfilter框架裡所註冊的hook函式一共就五個:ip_c

(五)洞悉linux下的Netfilter&iptables:如何理解連線跟蹤機制?(1)

如何理解Netfilter中的連線跟蹤機制?     本篇我打算以一個問句開頭,因為在知識探索的道路上只有多問然後充分調動起思考的機器才能讓自己走得更遠。連線跟蹤定義很簡單:用來記錄和跟蹤連線的狀態。 問:為什麼又需要連線跟蹤功能呢? 答:因為它是狀態防火牆和NAT的實

(六)洞悉linux下的Netfilter&iptables:如何理解連線跟蹤機制?【中】

如果找到了該tuple所屬於的tuple_hash連結串列,則返回該連結串列的地址;如果沒找到,表明該型別的資料包沒有被跟蹤,那麼我們首先必須建立一個ip_conntrack{}結構的例項,即建立一個連線記錄項。 然後,計算tuple的應答repl_tuple,對這個ip_conntrack{}物件做一番必

iptablesnat轉發

iptables 主要分為路由前轉發PREROUTING,和路由後轉發POSTROUTING。 何為路由前?也就是從外部傳入數據,在到達主機網卡,還未進入網卡的瞬間。 何為路由後?也就是從外部傳入數據,進入並經過主機某個網卡後,向外傳出數據的瞬間。 一個簡單的模型如下: 外部數據

iptablesNAT端口轉發設置

lag 虛擬 p地址 iptable 轉發 火墻 無效 loop ror 背景:服務器A:103.110.114.8/192.168.1.8,有外網ip,是IDC的一臺服務器服務器B:192.168.1.150,沒有外網ip,A服務器是它的宿主機,能相互ping通服務器C:

iptables詳解(11):iptables網絡防火墻

允許 什麽 模塊 進行 通訊 usr accep 屬於 兩個 我們一起來回顧一下之前的知識,在第一篇介紹iptables的文章中,我們就描述過防火墻的概念,我們說過,防火墻從邏輯上講,可以分為主機防火墻與網絡防火墻。 主機防火墻:針對於單個主機進行防護。 網絡防火墻:

iptablesstate擴展與開啟被動模式ftp

state擴展 被動模式ftp 加載規則1. state擴展 2. 如何開放被動模式的ftp服務? 3. 防火墻規則的檢查次序 4. 保存與加載預存的規則 1. state擴展 ??該擴展至關重要,正是由於state才實現了連接追蹤機制。??連接追蹤機制:每一臺客戶端與本地主機進行通訊時(有可能是通過本地主

iptablesforward

iptables forward1. forward鏈的作用 2. 實現 1. forward鏈的作用   根據數據報文的流向,若數據報文是由本機轉發的則會經由以下幾個鏈prerouting --> forward --> postrouting。  fo

Kettle學習筆記003資料庫連線配置

1.  Kettle的資料庫連線方式常用的是jdbc連線方式 2. 資料庫連線配置:      在任務設計器Spoon的主物件樹的DB連線選項進行配置 3. 共享資料庫連線      a. 新建的資料庫連線只能在當

STM32小白進階路----按鍵的模組化,低延時,高靈敏

兩種按鍵查詢方法,兩種方式處理 第一種方法:掃描查詢法 優點:無延遲,高靈敏,無中斷 思想:也是別人的程式碼總結出來的,當按鍵連續讀到10個或者20(這個看你的按鍵多敏感,我的10就夠了)低電平,就算按鍵按下了 //需要迴圈掃描 u8 IsKey0Down()

學習筆記——Opencv視訊處理模組

視訊訊號是重要的視覺資訊來源。視訊由一系列影象構成,這些影象稱為幀。幀以固定的時間間隔獲取(稱為幀速率,通常用幀/秒表示)。大多數計算機視覺方面的應用都是基於視訊來處理的,為此本博文作為Opencv視訊處理模組的學習筆記~ 幀的資料型別也是Mat。 讀取視訊序列。要從視訊序列讀取幀,只需

乙太網實驗TCP連線的建立

1  PC機和終端的連線關係如下圖所示      PC機的IP地址為192.168.0.68,建立一個埠號為60000的server;終端的IP地址為192.168.1.181,本地埠號為1030,發起一個TCP連線指向192.168.0.68,60

連線資料庫模組 pymysql, redis

OP_MYSQL 1.連線資料庫 conn=pymysql.connect( host=host,user=user,passwd=passwd,port=port,charset=charset ) 2.建立遊標 cur=pymysql.cursors(cursors = pymysql.cur

VMware---NAT連線問題查詢

轉 VMware虛擬機器NAT模式無法上外網排錯思路 2018年06月07日 11:55:22 kenneth96 閱讀數:709 標籤: linux運維 VMware虛擬機器NAT模式無法上外網排錯思路 1,確保三種模式只有一種在連線

【Android開發—智慧家居系列】(三):手機連線WIFI模組

【Android開發—智慧家居系列】(三):手機連線WIFI模組   概述   實現連線WIFI的功能會用到一個工具類,原始碼可以點選連結下載。網上這些類似的工具類裡的程式碼差不多是一樣的。連線無線網主要有兩個方法:    其中有一個Connect方法,還有一

python下socket程式設計TCP連線狀態

1. 引言 python作為一門膠水語言,可以在各個領域上作為快速開發的工具,大大提高開發者處理事務的效率。在網際網路行業中,不管是對網路伺服器的開發,還是對網路客戶端,例如爬蟲的開發中,都會涉及到底層的執行原理,那就是socket程式設計,那麼今天,我們將對python下的socke

python 每日一練0000題➕PIL模組學習

前言 自己的程式設計能力太不足了,最近開始每日一練,望大佬勿噴,學習記錄下 正文 第 0000 題: 將你的 QQ 頭像(或者微博頭像)右上角加上紅色的數字,類似於微信未讀資訊數量那種提示效果。 類似於圖中效果 這道題我想到的做法就是利用PIL模組去做 當然我的電腦裡