Описание тега nf-conntrack
0
ответов
Минимальный набор правил iptables для высокопроизводительного обратного прокси-сервера Nginx (или: как использовать NOTRACK для http и https)?
Я ищу минимальный набор правил iptables для довольно большого объема обратного прокси Nginx/Varnish. Я хотел бы закрыть сервер, чтобы только порты 80 и 22 были открыты вообще для соединений с внешнего устройства. Кроме того, я хотел бы исключить тра…
09 ноя '12 в 17:11
3
ответа
Где правильное место для установки net.netfilter.nf_conntrack_buckets?
В настоящее время я пытаюсь установить net.netfilter.nf_conntrack_buckets при загрузке. Сначала я предполагал, что это можно сделать через sysctl.conf, но net.netfilter.nf_conntrack_buckets (и другие конфигурации net.netfilter) вообще не применялись…
26 фев '13 в 04:25
1
ответ
В чем разница между nf_conntrack_max и nf_conntrack_expect_max?
Я понимаю что nf_conntrack_max есть, но что делает nf_conntrack_expect_max на самом деле делать? Я не смог найти объяснение этому нигде.
26 фев '13 в 20:03
2
ответа
Как устранить ошибку "kernel: nf_conntrack: таблица заполнена, отбрасывание пакета"
Недавно у нас была проблема с одним из наших серверов (Debian Squeeze), который перестал отвечать на запросы при большой нагрузке. Глядя на логи ядра, я думаю, что это причина: kernel: nf_conntrack: table full, dropping packet Насколько я понимаю, э…
30 сен '14 в 10:54
3
ответа
Conntrack не показывает результата
Я попробовал команду conntrack -L и он ничего не возвращает, когда у меня есть ping www.google.com Бег. Я также пытался загрузить модуль modprobe nf_conntrack, Но все равно всегда возвращается conntrack v1.0.0 (conntrack-tools): 0 flow entries have …
10 ноя '14 в 14:25
1
ответ
Настройка IPTables без модуля отслеживания соединений
Обычно для исходящих подключений требуется отслеживание подключений, чтобы разрешить установление подключений обратно, например: iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT На моем сервере не включено отслеживание соединений, по…
18 дек '14 в 19:29
2
ответа
nf_conntrack жалобы в dmesg
Исследуя жалобы на плохую производительность HTTP-сервера, я обнаружил эти строки в dmesg моего хоста Xen XCP, который содержит гостевую ОС с указанным сервером: [11458852.811070] net_ratelimit: 321 обратный вызов подавлен [11458852.811075] nf_connt…
27 сен '12 в 11:34
1
ответ
Как использовать conntrack для разрешения SIP-трафика
У меня есть следующая проблема: Device (eth0)----> SWITCH(trunk)+VLAN120 ---> (PC1) +VLAN200 ---> (PC2) Я могу пропинговать с ПК1 на ПК2, которые находятся в разных подсетях, как указано выше: Использование правил NAT в iptables, как показа…
20 июл '15 в 10:36
1
ответ
ip_conntrack_max не найден
Я перенастроил /etc/sysctl.conf net.ipv4.netfilter.ip_conntrack_max = 65536 net.nf_conntrack_max = 65536 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrac…
20 мар '17 в 08:47
1
ответ
Соединения исчезают из nf_conntrack
Я исследовал специальную проблему на нашем хост-сервере докеров (17.09.0-ce) и обнаружил, что каждые 3-5 минут многие соединения исчезают из /proc/net/nf_conntrack, что приводит к истечению времени ожидания на стороне клиента. Я на CentOS 6. Я не ви…
10 апр '18 в 11:22
1
ответ
NAT без сохранения состояния с CentOS 6
Я хочу настроить следующее: ---[IVR 1] | (internet)----[CentOS box]---+---[IVR 2] | ---[IVR 3] Внутренний интерфейс блока CentOS - 192.168.110.1, а IVR - 192.168.110.101-103. Я пытаюсь сопоставить несколько внешних портов UDP с каждым IVR - например…
25 сен '14 в 16:12
1
ответ
iptables не может загрузить nf_conntrack_ftp
Недавно мне пришлось перестраивать свою конфигурацию iptables и при запуске service iptables restart Теперь я получаю следующую строку ошибки: iptables: Loading additional modules: nf_conntrack_ftp [FAILED] Мой файл iptables-config содержит следующу…
02 янв '15 в 01:55
1
ответ
Что случилось с счетчиками байтов и пакетов в conntrack?
Документы Netfilter Conntrack показывают пример вывода conntrack -L который содержит bytes= а также packets= счетчики, но когда я запускаю его, я вижу только IP и информацию о порте. Я знаю, что документы действительно устарели, и конкретно упомяну…
08 май '17 в 17:01
1
ответ
UFW без отслеживания соединения
Я использую UFW на веб-сервере с высоким трафиком (много трафика http/https) на Ubuntu (12.04 или 14.04). Я попытался настроить параметры ядра, связанные с отслеживанием соединения, с некоторым успехом. Однако, думая об этом, я не делаю NAT, поэтому…
16 окт '15 в 10:26
0
ответов
Модуль nf_conntrack_ftp исчез
Я управлял капелькой Линода в течение нескольких лет без проблем. В прошлом месяце пользователи сообщали об ошибках FTP-соединения, всегда связанных с пассивным FTP. Расследование показывает, что модуль nf_conntrack_ftp больше не загружается. Мы исп…
10 дек '16 в 03:05
1
ответ
Что на самом деле делает nf_conntrack.acct?
Я нашел параметр ядра nf_conntrack.acct Интересно, что в документации ядра просто сказано: "Включить учет потоков отслеживания соединений". Я добавил это к Grub и перезагрузил, и я не нашел никакой разницы. Например, что это имеет отношение к /proc/…
22 сен '13 в 00:47
1
ответ
Отладка HAProxy
Я тестировал / тестировал кластер серверов локально в течение долгого времени без проблем. Недавно я настроил свой серверный кластер для тестирования в режиме реального времени, и я заметил проблемы, и считаю, что HAProxy в моем кластере может столк…
08 окт '13 в 16:22
1
ответ
Ограничение исходящих соединений портом для контроля использования nf_conntrack
Я хотел бы сделать мою систему более устойчивой к определенным сбоям. Когда система прерывает быстрые исходящие соединения TCP, nf_conntrack стол заполняется TIME_WAIT записей. Это приводит к сбою других операций в системе, так как больше нет nf_con…
04 мар '14 в 02:55