一、概念
-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )
-存储跟踪连接条目列表的哈西表的大小:HASHSIZE
-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目
-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。
图表形象解释:
例如,系统默认配置下,启动 iptables 时的信息如下:
ip_conntrack version 2.4 (8192 buckets, 65536 max) - 304 bytes per conntrack
二、实战:调大 conntrack_max 参数(2.4内核)
1)增大 hashsize (在i386架构上,HASHSIZE = CONNTRACK_MAX / 8)
# vi /etc/modprobe.conf options ip_conntrack hashsize=131072
然后重启 iptables 服务,在 sysctl -a | grep conntrack中可以看到参数已生效(自动调整为哈希表大小的8倍)
所以不要在/etc/sysctl.conf中设置以下两项的值:
net.ipv4.netfilter.ip_conntrack_max net.ipv4.ip_conntrack_max
相关推荐
离线安装包,亲测可用
它是基于Linux系统的stateful防火墙的基础,也是NAT完成对相关包进行转换的手段。本文尝试对conntrack的机制进行分析和理解。 在基于header信息(IP,端口等)进行过滤的包过滤防火墙发展多年之后,对防火墙的...
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
官方离线安装包,亲测可用
官方离线安装包,亲测可用
官方离线安装包,亲测可用
官方离线安装包,亲测可用
官方离线安装包,亲测可用
# 载入相关模块 ...modprobe ip_conntrack > /dev/null 2>&1 modprobe ip_conntrack_ftp > /dev/null 2>&1 modprobe ip_conntrack_irc > /dev/null 2>&1 modprobe ipt_MASQUERADE > /dev/null 2>&1
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
IPv4 support for nf_conntrack.
This is a module which is used for setting up fake conntracks on packets so that they are not seen by the conntrack/NAT code for linux.
ConnView是conntrack表查看器。 这是php脚本-ip_conntrack表的前端。 您可以选择过滤,连接排序。 脚本可识别conntrack表中的常见服务。您可以查看连接列表或每个IP的详细信息列表等。
Linux Network driver: IPv6 fragment reassembly for connection tracking.
broadcast connection tracking helper for linux network.
RRQ and WRQ works the same way for Linux v2.13.6.
bool generic pkt to tuple for Linux v2.13.6.
官方离线安装包,亲测可用。使用rpm -ivh [rpm完整包名] 进行安装
Print out the per-protocol part of the tuple.
Print out the per-protocol part of the tuple.