我尝试了该命令conntrack -L,但运行时它什么也没有返回ping www.google.com。
我也尝试通过以下方式加载模块modprobe nf_conntrack。但它仍然总是返回conntrack v1.0.0 (conntrack-tools): 0 flow entries have been shown.
有人知道解决办法是什么吗?
答案1
尝试添加具有 conntrack 状态的 iptables 规则,例如:
iptables -A INPUT -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
它对我有用。
答案2
该conntrack工具不会返回流,因为当您的ping命令结束时流已经终止。
创建与 Internet 上某个设备的持久 TCP 连接并执行操作conntrack -L,您就会看到一个流。您还可以ping向没有响应的 Internet 主机发送一些请求 - 您也可以看到以这种方式创建的流(等待永远不会到来的 ICMP 回显回复)。
答案3
添加 iptables 规则有效,并且 nftables 取代了传统的 {ip,ip6,arp,eb}_tables (xtables) 基础架构。
对于 nftables 你可以这样做:
添加ct 状态规则类型过滤器钩子输入链
nft add table inet filter_example
nft add chain inet filter_example input_example {type filter hook input priority filter\; policy accept\;}
nft add rule inet filter_example input_example ct state established,related accept
