使用 UFW 禁用 80 端口的连接跟踪

使用 UFW 禁用 80 端口的连接跟踪

在负载测试期间,我的服务器在资源耗尽之前就因“连接跟踪”而丢弃数据包。我使用的是带有 ufw 的 Ubuntu Jaunty。在我的系统日志中我收到:

ip_conntrack: table full, dropping packet.

我考虑过增加最大连接表大小,但我不知道在这些端口上跟踪这些连接有什么好处。我想知道如何使用 ufw 告诉它不要跟踪对端口 80 和 443 的请求。

澄清

  • 不需要natting,它只是一个网络服务器。

谢谢。

答案1

连接跟踪是一个开/关开关,您无法针对某种流量选择性地禁用它。您应该通过 下的各种 nf_conntrack_max 选项增加跟踪的连接数/proc/sys/net。您还可以考虑启用 syncookies 以减少拥塞影响。

编辑:看来 iptables-j NOTRACK允许您有选择地禁用连接跟踪。

答案2

iptables -A PREROUTING -p tcp --dport 80 -j NOTRACK 
iptables -A PREROUTING -p tcp --dport 443 -j NOTRACK 

将仅禁用这些端口的连接跟踪。

答案3

您是否使用 NAT?我认为如果没有 ip_conntrack,您就无法进行 NAT。

相关内容