Comment transformer iptables apatrides?

17

J'exécute un serveur Linux qui - de temps en temps - fait face à une lourde charge et la table conntrack déborde. Puisqu'il s'agit d'un ensemble de règles de pare-feu iptables très simple, je voudrais le mettre en mode sans état. Je sais que iptables peut fonctionner en mode de suivi de connexion avec état et en mode sans état.

Mes règles de pare-feu sont toutes en place, je suis quasiment sûr qu'elles sont sans état mais ma question est de savoir comment puis-je vérifier que le pare-feu fonctionne vraiment en mode sans état?

linux firewall iptables Texas
la source

Réponses:

19

Vous devez spécifier quelques règles iptables pour empêcher les paquets d'être conntrackés:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
profy
la source
en fait c'est "-t raw" et non "-t RAW" mais c'était la pièce manquante. Je vous remercie!
tex
2
Désolé, mais cela ne répond pas à votre question car c'était "comment puis-je vérifier que le pare-feu fonctionne vraiment en mode sans état".
poige
Veuillez excuser ma formulation. Mon anglais n'est pas parfait, mais c'était exactement la solution à mon problème.
tex
4

cat /proc/net/ip_conntrack affiche tout le suivi des connexions.

Donc, s'il est sans état, la sortie de la commande ci-dessus doit être vide.

(Alternativement, utilisez cat /proc/net/nf_conntrack)

pepoluan
la source
3

Installez conntrack et regardez la sortie. Je suis sûr que si vous êtes apatride, aucune connexion ne sera affichée.

Zoredache
la source