我正在运行一个 Linux 服务器,它有时会面临高负载,并且 conntrack 表会溢出。由于它的 iptables 防火墙规则集非常简单,我想将其转换为无状态模式。我知道 iptables 可以在有状态连接跟踪模式和无状态模式下运行。
我的防火墙规则都已到位,我很确定它们是无状态的,但我的问题是如何验证防火墙是否确实在无状态模式下运行?
答案1
您需要指定一些 iptables 规则来防止数据包被连接跟踪:
iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
答案2
cat /proc/net/ip_conntrack显示所有连接跟踪。
因此,如果它是无状态的,则上述命令的输出应该是空的。
(或者,使用cat /proc/net/nf_conntrack)
答案3
安装连接跟踪,然后查看输出。我很确定如果您是无状态的,则不会显示任何连接。