Debian 11 似乎没有安装任何网络过滤器

tag-icon tag-icon debian
Debian 11 似乎没有安装任何网络过滤器

当我试图这样做的时候

sudo sysctl net.netfilter.nf_conntrack_tcp_be_liberal=1

我收到错误:

sysctl: cannot stat /proc/sys/net/netfilter/nf_conntrack_tcp_be_liberal: No such file or directory

当我检查文件夹时,ls /proc/sys/net/netfilter/ 我看到的只有:

nf_log  nf_log_all_netns

但在 Debian 10 上,我看到的是这样的: ls /proc/sys/net/netfilter/

nf_conntrack_acct                   nf_conntrack_dccp_timeout_closing   nf_conntrack_events             nf_conntrack_helper               nf_conntrack_sctp_timeout_cookie_echoed      nf_conntrack_sctp_timeout_shutdown_recd  nf_conntrack_tcp_timeout_close_wait   nf_conntrack_tcp_timeout_syn_sent        nf_log
nf_conntrack_buckets                nf_conntrack_dccp_timeout_open      nf_conntrack_expect_max         nf_conntrack_icmp_timeout         nf_conntrack_sctp_timeout_cookie_wait        nf_conntrack_sctp_timeout_shutdown_sent  nf_conntrack_tcp_timeout_established  nf_conntrack_tcp_timeout_time_wait       nf_log_all_netns
nf_conntrack_checksum               nf_conntrack_dccp_timeout_partopen  nf_conntrack_frag6_high_thresh  nf_conntrack_icmpv6_timeout       nf_conntrack_sctp_timeout_established        nf_conntrack_tcp_be_liberal              nf_conntrack_tcp_timeout_fin_wait     nf_conntrack_tcp_timeout_unacknowledged
nf_conntrack_count                  nf_conntrack_dccp_timeout_request   nf_conntrack_frag6_low_thresh   nf_conntrack_log_invalid          nf_conntrack_sctp_timeout_heartbeat_acked    nf_conntrack_tcp_loose                   nf_conntrack_tcp_timeout_last_ack     nf_conntrack_timestamp
nf_conntrack_dccp_loose             nf_conntrack_dccp_timeout_respond   nf_conntrack_frag6_timeout      nf_conntrack_max                  nf_conntrack_sctp_timeout_heartbeat_sent     nf_conntrack_tcp_max_retrans             nf_conntrack_tcp_timeout_max_retrans  nf_conntrack_udp_timeout
nf_conntrack_dccp_timeout_closereq  nf_conntrack_dccp_timeout_timewait  nf_conntrack_generic_timeout    nf_conntrack_sctp_timeout_closed  nf_conntrack_sctp_timeout_shutdown_ack_sent  nf_conntrack_tcp_timeout_close           nf_conntrack_tcp_timeout_syn_recv     nf_conntrack_udp_timeout_stream

请问我遗漏了什么?

答案1

缺少的变量由内核模块提供nf_conntrack

您可以,具体取决于您遇到的具体问题以及问题发生的时间(是否在启动时......):

  • 手动加载模块

    modprobe nf_conntrack

  • 任何有状态或 NAT 规则(来自iptables-legacyiptables-nftnftables)都会触发加载nf_conntrack

  • 改变顺序和依赖关系systemd服务所以systemd-sysctl(或procps)不会太早运行,而是在nf_conntrack模块由从其他服务加载的先前规则加载之后运行。

  • nf_conntrack通过将其添加到启动时强制加载模块/etc/modules

    如果需要的话,可以重建 initramfs:

    update-initramfs -u

相关内容