¿Cómo convertir iptables sin estado?

17

Estoy ejecutando un servidor Linux que, de vez en cuando, se enfrenta a una gran carga y la tabla conntrack se desborda. Como su conjunto de reglas de firewall de iptables es muy simple, me gustaría convertirlo en modo sin estado. Sé que iptables puede operar en modo de seguimiento de conexión con estado y en modo sin estado.

Mis reglas de firewall están en su lugar. Estoy bastante seguro de que no tienen estado, pero mi pregunta es ¿cómo puedo verificar que el firewall realmente esté funcionando en modo sin estado?

Texas
fuente

Respuestas:

19

Debe especificar algunas reglas de iptables para evitar que los paquetes se integren:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
profano
fuente
en realidad es "-t raw" y no "-t RAW", pero esa fue la pieza faltante. ¡Gracias!
tex
2
Lo sentimos, pero esto no responde a su pregunta, ya que en realidad era "¿cómo puedo verificar que el firewall realmente funciona en modo sin estado".
poige
Por favor disculpe mi redacción. Mi inglés no es perfecto, pero esa fue exactamente la solución para mi problema.
tex
4

cat /proc/net/ip_conntrack muestra todo el seguimiento de la conexión.

Entonces, si no tiene estado, la salida del comando anterior debe estar vacía.

(Alternativamente, use cat /proc/net/nf_conntrack)

pepoluan
fuente
3

Instale conntrack y mire la salida. Estoy bastante seguro de que si no tiene estado, no se mostrarán las conexiones.

Zoredache
fuente