Come trasformare iptables senza stato?

17

Sto eseguendo un server Linux che - di volta in volta - deve affrontare carichi pesanti e la tabella conntrack trabocca. Dal momento che è il set di regole del firewall iptables è molto semplice, vorrei passare alla modalità stateless. So che iptables può funzionare in modalità di monitoraggio della connessione con stato e in modalità stateless.

Le mie regole del firewall sono tutte in atto Sono abbastanza sicuro che siano apolidi ma la mia domanda è come posso verificare che il firewall funzioni davvero in modalità stateless?

linux  firewall  iptables 
tex
fonte

Risposte:

19

È necessario specificare alcune regole di iptables per impedire che i pacchetti vengano collegati:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
Profy
fonte
in realtà è "-t raw" e non "-t RAW" ma quello era il pezzo mancante. Grazie!
tex,
2
Siamo spiacenti, ma questo non risponde alla tua domanda poiché in realtà era "come posso verificare che il firewall funzioni davvero in modalità senza stato".
poige,
Per favore, scusa la mia formulazione. Il mio inglese non è perfetto, ma era esattamente la soluzione al mio problema.
tex,
4

cat /proc/net/ip_conntrack mostra tutto il tracciamento della connessione.

Quindi, se è senza stato, l'output del comando sopra dovrebbe essere vuoto.

(In alternativa, utilizzare cat /proc/net/nf_conntrack)

pepoluan
fonte
3

Installa conntrack e guarda l'output. Sono abbastanza sicuro che se sei apolide non verranno visualizzate connessioni.

Zoredache
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.