我明白这nf_conntrack_max是什么意思,但nf_conntrack_expect_max实际上它起什么作用呢?我还没能找到任何关于这方面的解释。
答案1
连接跟踪系统维护两个不同的表,一个用于跟踪活动的连接,另一个用于跟踪/预期/活动的连接。预期连接的一个例子是 FTP 连接,它同时使用控制连接和数据连接。当控制连接打开时,预计数据连接也会打开。
在单表解决方案中,如果在表中填满预期内容,导致合法、活跃的连接中断,则可能会触发拒绝服务。单独的表有助于防止这种情况发生。
在两个系统设置中,是期望表的最大条目数,其功能与conntrack 表的nf_conntrack_expect_max功能相同。nf_conntrack_max