ip-conntrack
iptables::drop 在 ESTABLISHED,RELATED 之前或之后无效?
我不清楚对这两种情况的 INVALID 与 ESTABLISHED,RELATED 检查是否同样快(并且如果状态完全正交),我是否必须在接受 ESTABLISHED 之前删除 INVALID,或者我可以安全地接受 ESTABLISHED 然后删除 INVALID 吗? ...
ip-conntrack
ip-conntrack
Conntrack 命令未永久创建流
对于连接跟踪,以下命令有时不会创建流条目。你知道为什么流表项创建时断时续吗? conntrack -I -n -p udp -s 10.15.109.12 -d 239.10.200.1 --src-nat 10.15.109.60 --dst-nat 239.10.200.1 --sport 60003 --dport 7000 --reply-dst 10.15.109.60 --reply-port-src 7000 --reply-port-dst 60003 ...
ip-conntrack
在 NFTABLES 中结合 DNAT 和 SYNPROXY
我有一个应用程序需要 DNAT 来实现负载平衡,并需要 SYNPROXY 来缓解 SYN 泛洪。如果没有 SYNPROXY,我会将循环 DNAT 放入 PREROUTING 挂钩上的 NAT 链中。然而,添加 SYNPROXY 似乎会使这个问题变得复杂,因为它与下游服务器的初始模拟通信是通过 OUTPUT 路径发生的(如果我理解正确的话)。我读到的建议是 DNAT 因此应该移动到 OUTPUT 挂钩的 NAT 链,但这看起来很奇怪。在第一个 SYN、SYN-ACK、ACK 之后数据包如何穿越 netfilter?此方法是否会更新 PREROUTING CON...
ip-conntrack
在没有网络的情况下创建 conntrack 会话
我正在尝试测试一些与 conntrack 相关的工具。该测试在没有网络访问的单个虚拟机中运行。创建 conntrack 会话以便我可以进行测试的最简单方法是什么? ...
ip-conntrack
如何安装 Netfilter/启用 conntrack 事件?
我遇到过这个回购协议并努力理解这些步骤。 我相信这是为了启用 Netfilter conntrack 事件,但我不确定。 我必须运行什么才能得到这些提示? -------------------------------------------------------- 2. The minimum requirements for the kernel configuration -------------------------------------------------------- Kernel version >= 4.4 Networ...
ip-conntrack
Docker 容器之间的覆盖网络连接滞后 simetimes,为 1 的倍数
在高流量(连接频率)的覆盖网络上相互通信的两个容器偶尔会出现连接延迟,几乎恰好是 1 秒的倍数。两个容器运行在同一主机上还是在两台物理机之间运行并不重要。 Ping 完全没有延迟,只有 TCP 连接受到影响 这不是 DNS 问题,使用其他容器的 IP 地址测试连接 我尝试过设置一些基于的内核参数https://github.com/moby/moby/issues/35082因为这听起来与我的问题相似 for ns in /var/run/docker/netns/lb_* /var/run/docker/netns/ingress_sbox do ...
ip-conntrack
使用 conntrack 标记将 Iptables 移植到 Nftables 防火墙
嗨,亲爱的尊敬的社区, 我很难将功能强大的 iptables 防火墙移植到 nftables。输入/输出/转发内容没有问题,主要是 conntrack 标记。我目前所做的事情如下: 1/ 我使用该命令创建三个路由表ip以及规则和 conntrack 标记。他们每个人都有一个默认路由,要么是我的 FDDI,要么是我的 VPN,要么是我的 4G 连接。 ip route add table maincnx default dev $WAN via 192.168.1.2 ip route add table maincnx 192.168.0.0/24 dev ...
ip-conntrack
使用 iptables 标记传出数据包
是否有可能用 iptables 标记传出数据包并通过响应识别它们?我有一个非常简单的传出规则: iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED --m owner --uid-owner XXX -j ACCEPT 接受来自此规则的响应的一种方法是接受所有状态为 ESTABLISHED、RELATED 的传入数据包。 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT 但我担...
ip-conntrack
优雅地关闭不活动的 TCP 连接
是否存在一个命令可以在进程超时之前“优雅地”关闭进程打开的 TCP 连接? 我想优雅地关闭所有处于 CLOSE_WAIT/TIME_WAIT 状态的 TCP 连接netfilter连接跟踪表在他们到达超时之前。 我所说的优雅是指我在关闭来自程序的套接字。 ...
ip-conntrack
Conntrack 和动态 ipset/iptables 规则
我不明白 conntrack 模块的一些基本概念。 首先,我确定它已在我的系统(Ubuntu 18.04)中启用,modinfo显示有关 nf_conntrack 的信息,并且/proc/modules文件告诉 nf_conntrack 是“实时”的。 其次,我有以下测试设置: 机器 A (192.168.1.2) <-----> 路由器机器 (192.168.1.1 & 192.168.2.1) <----> 机器 B (192.168.2.2) 在路由器机器上,我有以下 iptables 规则: iptables ...
ip-conntrack
有没有办法像ctmark一样查看nfmark?
我理解这iptables --set-mark不会在数据包上添加标记。MARK目标是在内核数据结构中将标记与数据包关联起来。数据包本身不会被修改。但是有没有什么方法可以查看带有关联标记的数据包? 我们可以从 中看到ctmark(使用目标设置的连接标记CONNMARK)/proc/net/nf_conntrack。我正在寻找类似的内容以供查看nfmark(数据包标记)。 我们可以这样查看ctmark。 iptables -I OUTPUT 1 -t mangle -j CONNMARK --restore-mark iptables -I OUTPUT ...
ip-conntrack
多播 ICMPv6 返回,conntrack 状态无效
我正在研究 IPv6 的组播功能。 $ ping ff02::2%wlp3s0 这通常会导致本地网段上的所有路由器发出回显应答(维基百科 - IPv6)。以我为例,我的家庭路由器。 然而,我发现我原来的 nftables 规则阻止了 echo-replies: 原始 nftables 规则阻止回显回复 table inet filter { chain input { type filter hook input priority 0; policy drop; iifname "lo" accept ...
ip-conntrack
nf_conntrack_sip 有时不起作用,重新启动 iptables 通常可以修复它
我正在尝试在运行 Asterisk 的盒子上使用 nf_conntrack_sip,即不为另一个 VoIP 盒子路由流量。安装程序一直有效,直到我重新启动为止。重新启动后,nf_conntrack_sip 几乎总是停止工作并且媒体流量被丢弃。 conntrack --dump | grep -E 'sip|helper' # No output matching 'sip' nor 'helper' while a call is in progress (albeit no audio) iptables 规则已正确加载并由 确认iptables-s...
ip-conntrack
iptables connlimit-above 允许比预期更多的连接
我正在尝试使用 iptables connlimit 在 kubernetes 节点上设置每个 ip 连接限制。由于虚拟机上的每个容器都有不同的源 IP(覆盖网络),因此使用 connlimit 应该可以。我添加了规则 iptables -I FORWARD 1 -p tcp --syn -m connlimit --connlimit-above 25 --connlimit-mask 32 -j REJECT --reject-with tcp-reset 我正在通过让一个容器与外部服务突发 50 个连接进行测试。这最初在第一次爆发时起作用。 25...