我正在运行 Proxmox 2.2(Debian squeeze 2.6.32-11-pve)
目前,我已经向 iptables mangle 表添加了大约 60 条规则来阻止攻击。但是当我尝试添加新规则时,服务器停止工作并且不再可访问(新规则只是为了阻止 IP,我并没有阻止我自己)。
/var/log/messages服务器发生故障时没有特殊的日志,但是我在消息日志中反复发现以下错误:
nf_conntrack:表已满
我修改了/etc/sysctl.conf,增加了nf_conntrack_max数量,但是问题仍然存在。
我想知道这个故障是否与 mangle 表中的规则数量有关?此表中的规则数量是否有限制?
我已经花了很多时间为我的服务器构建自动防火墙,这一切都基于 mangle 表。
答案1
nf_conntrack 表不包含防火墙规则。它是用于连接跟踪数据的表。您可以在文件中查看其中的内容/proc/net/ip_conntrack
要解决 nf_conntrack 限制问题,请考虑以下方法:
- 增加
net.netfilter.nf_conntrack_max并net.nf_conntrack_max/etc/sysctl.conf -j NOTRACK使用iptables 规则禁用某些数据包的连接跟踪
Iptables 对规则数量没有合理的限制,因为即使只有几千条规则也会非常慢。