Wie man iptables zustandslos macht?

17

Ich betreibe einen Linux-Server, der von Zeit zu Zeit stark ausgelastet ist und die Conntrack-Tabelle überläuft. Da es sich um einen sehr einfachen iptables-Firewall-Regelsatz handelt, möchte ich ihn in den zustandslosen Modus versetzen. Ich weiß, dass iptables im statusbehafteten Verbindungsverfolgungsmodus und im zustandslosen Modus betrieben werden kann.

Meine Firewall-Regeln sind alle vorhanden. Ich bin mir ziemlich sicher, dass sie zustandslos sind. Meine Frage ist jedoch, wie ich überprüfen kann, ob die Firewall wirklich im zustandslosen Modus arbeitet.

linux firewall iptables tex
quelle

Antworten:

19

Sie müssen einige iptables-Regeln angeben, um zu verhindern, dass Pakete verfolgt werden:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
profy
quelle
Eigentlich ist es "-t raw" und nicht "-t RAW", aber das war das fehlende Teil. Vielen Dank!
tex
2
Entschuldigung, aber dies beantwortet Ihre Frage nicht, da es sich tatsächlich um "Wie kann ich überprüfen, ob die Firewall wirklich im zustandslosen Modus arbeitet" handelt.
Poige
Entschuldigen Sie bitte meinen Wortlaut. Mein Englisch ist nicht perfekt, aber das war genau die Lösung für mein Problem.
Tex
4

cat /proc/net/ip_conntrack zeigt alle Verbindungsverfolgung.

Wenn es also zustandslos ist, sollte die Ausgabe des obigen Befehls leer sein.

(Alternativ verwenden Sie cat /proc/net/nf_conntrack)

pepoluan
quelle
3

Installieren Sie conntrack und schauen Sie sich die Ausgabe an. Ich bin mir ziemlich sicher, dass keine Verbindungen angezeigt werden, wenn Sie staatenlos sind.

Zoredache
quelle