nf-conntrack

NetFilter ConnTrack FTP 辅助程序用于处理 FTPS
nf-conntrack

NetFilter ConnTrack FTP 辅助程序用于处理 FTPS

我一直在nf_conntrack_ftp成功使用模块(虽然很少),但现在我必须处理 TLS 加密的 FTP——这使得该帮助程序变得毫无用处,我不得不诉诸静态打开防火墙,而我宁愿避免这种情况。 在这种情况下,是否有通用nf_conntrack*模块可以工作?我感兴趣的场景是如果有到端口 21/tcp 的连接,则允许到该远程主机的任何其他端口的连接 ...

Admin

如何允许 sip 流量,从字段的 IP 被路由器 ip 修改
nf-conntrack

如何允许 sip 流量,从字段的 IP 被路由器 ip 修改

我有以下问题: PC1 - eth0: 192.168.188.55 eth1: part of br0: 10.147.20.69 tap1: part of b0: 10.147.20.2 -> connected to PC2 on eth1: i have a trunc sip device GOIP and some times PC3. 服务器是基于Freepbx安装的Centos7 从 PC2 ping pc1:ok ping eth1:ok 从 PC3 ping pc1:ok 注册一个 si...

Admin

使用 iptable 进行 DNAT 时如何避免端口重复
nf-conntrack

使用 iptable 进行 DNAT 时如何避免端口重复

我通过以下命令配置iptable输出链DNAT转换。 iptables -t nat -A OUTPUT -p tcp --dport 5000 -j DNAT --to 10.100.1.10:2048 当我在客户端10.100.30.5上链接10.100.20.4:5000时,流量成功转发到10.100.1.10:2048。 并且我在服务器10.100.1.10上收到的客户端连接地址是10.100.30.5:27929。 现在我想在客户端通过conntrack命令获取通过10.100.30.5:27929的DNAT记录。命令是 # conntrack ...

Admin

conntrack 事件(conntrack -E)显示 0.0.0.0 作为源地址和目标地址
nf-conntrack

conntrack 事件(conntrack -E)显示 0.0.0.0 作为源地址和目标地址

这些是下面的日志。 [DESTROY] udp 17 src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 packets=3 bytes=216 [UNREPLIED] src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 packets=0 bytes=0 [NEW] udp 17 30 src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 [UNREPLIED] src=0.0.0.0 dst=0.0.0.0 sport=0 dport=0 ...

Admin

我应该使用 iptables 对 nat 表进行状态匹配吗?
nf-conntrack

我应该使用 iptables 对 nat 表进行状态匹配吗?

我经常看到 iptables 链中有一些有状态的匹配规则,例如 INPUT。 我知道他们在做什么,我对此很感兴趣 我应该对表 NAT 链执行同样的事情吗? 例如,在我的家庭路由器中,我希望它接受 ssh,并且充当 NAT 路由器。 如果我们有: -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT 我应该做以下事情以获得更好的表现吗? -t nat -A POSTROU...

Admin

统计 conntrack -S 中遗漏的新计数器
nf-conntrack

统计 conntrack -S 中遗漏的新计数器

从这个问题Linux 服务器上缺少统计信息 /proc/net/stat/nf_conntrack我意识到还有/proc/net/stat/nf_conntrack另一种选择conntrack -S。 /proc/net/stat/nf_conntrack 中有NEW一个计数器,可以根据该计数器计算 CPS(每秒连接数)指标。但conntrack -S我没有看到这样的计数器。 如何NEW在没有 的情况下获取 conntrack 计数器/proc/net/stat/nf_conntrack?有没有办法从 中获取它conntrack -S? ...

Admin

Linux 服务器上缺少统计信息 /proc/net/stat/nf_conntrack
nf-conntrack

Linux 服务器上缺少统计信息 /proc/net/stat/nf_conntrack

由于某种原因,我的服务器上没有这样的文件。 root@serv:~# uname -a Linux serv 5.4.0-87-generic #98~18.04.1-Ubuntu SMP Wed Sep 22 10:45:04 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux root@serv:~# cat /proc/net/stat/nf_conntrack cat: /proc/net/stat/nf_conntrack: No such file or directory 但我的 conntrack 肯定是启用的:...

Admin

iptables FTP 连接跟踪不起作用
nf-conntrack

iptables FTP 连接跟踪不起作用

我希望有人能给我指明正确的方向。 在公共 IP 上运行 proftpd(支持 tls)。 FTP 客户端连接成功,但无法列出目录。当我将 iptables 上的“INPUT”策略更改为 ACCEPT 时,它就可以正常工作了。 以下是我的相关iptables规则: $IPTABLES -A INPUT -i eno1 -s 0/0 -d x.x.x.x -p tcp --sport 1024:65535 -m multiport --dports 20,21,989,990 -m state --state NEW,ESTABLISHED -j ACCEPT ...

Admin

net.netfilter.nf_conntrack_helper=1 存在安全风险吗?
nf-conntrack

net.netfilter.nf_conntrack_helper=1 存在安全风险吗?

对于具有匿名 ftp 服务器 (vsftpd) 的公共文件存档,我需要恢复被动 ftp,它在一段时间前将 Ubuntu 16 LTS 升级到 18 LTS 后停止工作(随后将升级到 20)。SE 网络周围的先前答案表明,除了在内核和防火墙中配置连接跟踪外,还应在核心 设置或系统控制 配置。 然而,这经常引用的文章关于使用助手的说明指出“这不是最佳选择,甚至存在安全风险”。这一点在这个答案,但我发现在这种情况下没有其他答案对设置 net.netfilter.nf_conntrack_helper = 1 有这样的保留。 所以我不确定:使用起来是否安全或者有风险...

Admin

Apache 将 TCP 连接保持在 CLOSE-WAIT 状态 600 秒
nf-conntrack

Apache 将 TCP 连接保持在 CLOSE-WAIT 状态 600 秒

我的设置由两个 Apache 服务器组成,如下图所示: |Apache | >==Reverse Proxy Connection====> |Apache | |Server1| <==Response through conntrack==< |Server2| HTTP 连接成功后服务器 1到服务器 2,后者发送一个TCP [FIN,ACK]数据包。 此数据包已正确确认服务器 1用数据TCP [ACK]包。连接现在处于CLOSE-WAIT状态。 然后,大约600秒后,服务器 1发送TCP [FIN,ACK]至服务器 2,其回应...

Admin

负载均衡服务器是否需要 conntrack?
nf-conntrack

负载均衡服务器是否需要 conntrack?

我有 3 个专用服务器作为负载均衡器。然后有指向此专用服务器的 IP 地址公共标志。突然,这 3 个 LB 服务器中的一个nf_conntrack: table full, dropping packet 我的专用服务器规格是 32 核;256 GB。我阅读了一些 nf_conntrack,最后我计划将 conntrack_max 增加到大约 400 万。但我需要你们这些在服务器性能方面有经验和专家的更多建议。 什么时候需要 conntrack?同时,这是具有私有 IP 的专用服务器,而不是 NAT 网关。我应该删除 conntrack 吗? ...

Admin

/proc/net/ip_conntrack 或 nf_conntrack 中的“使用”列?
nf-conntrack

/proc/net/ip_conntrack 或 nf_conntrack 中的“使用”列?

我想整合我自己的小脚本来解析 conntrack 数据,以便从一些也是 NAT 路由器的 Linux 机器获取定制的网络信息。 conntrack 表中的一行示例如下: ipv4 2 tcp 6 300 ESTABLISHED src=1.1.1.2 dst=2.2.2.2 sport=2000 dport=80 src=2.2.2.2 dst=1.1.1.1 sport=80 dport=12000 [ASSURED] mark=0 use=2 所有这些字段都已在其他地方描述,但我找不到关于最后一列的任何信息(使用=2,但通常使用=1)。 在规划...

Admin

连接从 nf_conntrack 中消失
nf-conntrack

连接从 nf_conntrack 中消失

我一直在调查我们的docker主机服务器(17.09.0-ce)的一个特殊问题,发现每隔3-5分钟,许多连接就会消失/proc/net/nf_conntrack导致客户端连接超时。 我在 CentOS 6 上。 我没有看到任何可能导致此行为的特殊数据包(我使用了沙克)。 我没有看到任何错误/var/log/消息或消息。 此外,看起来插座没有关闭,因为它们似乎仍留在网络状态-atp。 我现在有点卡在这里,我不知道如何找到这个问题的根本原因。我应该如何进一步调试这个问题? ...

Admin

conntrack 中的字节和数据包计数器发生了什么?
nf-conntrack

conntrack 中的字节和数据包计数器发生了什么?

Netfilter 的 conntrack 文档conntrack -L显示包含bytes=和计数器的示例输出packets=,但是当我运行它时我只看到 IP 和端口信息。 我知道这些文档确实已经过时了,并且特别提到了ip_conntrack,它已经被替换为nf_conntrack,但我希望有办法再次启用计数器。 有没有办法获取该信息,或者这些计数器已被删除? 我使用的是 ubuntu 14.04,内核是 3.13 ...

Admin

未找到 ip_conntrack_max
nf-conntrack

未找到 ip_conntrack_max

我确实重新配置了 /etc/sysctl.conf net.ipv4.netfilter.ip_conntrack_max = 65536 net.nf_conntrack_max = 65536 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 90 net.ipv4....

Admin