在负载测试期间,我的服务器在资源耗尽之前就因“连接跟踪”而丢弃数据包。我使用的是带有 ufw 的 Ubuntu Jaunty。在我的系统日志中我收到:
ip_conntrack: table full, dropping packet.
我考虑过增加最大连接表大小,但我不知道在这些端口上跟踪这些连接有什么好处。我想知道如何使用 ufw 告诉它不要跟踪对端口 80 和 443 的请求。
澄清
- 不需要natting,它只是一个网络服务器。
谢谢。
答案1
连接跟踪是一个开/关开关,您无法针对某种流量选择性地禁用它。您应该通过 下的各种 nf_conntrack_max 选项增加跟踪的连接数/proc/sys/net
。您还可以考虑启用 syncookies 以减少拥塞影响。
编辑:看来 iptables-j NOTRACK
允许您有选择地禁用连接跟踪。
答案2
iptables -A PREROUTING -p tcp --dport 80 -j NOTRACK
iptables -A PREROUTING -p tcp --dport 443 -j NOTRACK
将仅禁用这些端口的连接跟踪。
答案3
您是否使用 NAT?我认为如果没有 ip_conntrack,您就无法进行 NAT。