Debian系統關閉iptables的conntrack跟蹤
測試腳本
- 爲方便測試,提供iptables的開關腳本 /opt/iptables-switch.sh :
#!/bin/bash
# /opt/iptables-switch.sh status | disable | enable
ipt_mod_conf="/etc/modprobe.d/iptables.conf"
ipt_mod_list="ip_vs iptable_nat nf_nat_ipv4 ipt_MASQUERADE nf_nat nf_conntrack_ipv4 nf_defrag_ipv4 xt_conntrack nf_conntrack iptable_filter ip_tables xt_tcpudp xt_multiport xt_length xt_addrtype x_tables"
nf_max=$(sysctl -e -n net.nf_conntrack_max)
nf_cur=$(sysctl -e -n net.netfilter.nf_conntrack_count)
ipt_hsize=$(grep 'MemTotal' /proc/meminfo | awk '{printf("%d",$2/16)}')
fuck_ipt_mod(){
echo '# disable iptables conntrack modules' > ${ipt_mod_conf}
for ipt_mod in ${ipt_mod_list}; do
echo "blacklist ${ipt_mod}" >> ${ipt_mod_conf}
modprobe -r ${ipt_mod}
done
}
clean_ipt_rule(){
iptables -F
iptables -Z
iptables -X
for ipt_table in $(cat /proc/net/ip_tables_names 2>/dev/null); do
iptables -t ${ipt_table} -F
iptables -t ${ipt_table} -Z
iptables -t ${ipt_table} -X
done
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
}
ipt_enable(){
echo "options nf_conntrack hashsize=${ipt_hsize}" > ${ipt_mod_conf} # /sys/module/nf_conntrack/parameters/hashsize
for ipt_mod in ${ipt_mod_list}; do
modprobe -q -r ${ipt_mod} && modprobe -a ${ipt_mod}
done
dmesg --reltime | grep nf_conntrack | tail -2 2>/dev/null
sysctl -e -w net.nf_conntrack_max=4194304
sysctl -e -w net.ipv4.netfilter.ip_conntrack_max=4194304
sysctl -e -w net.netfilter.nf_conntrack_max=4194304
sysctl -e -w net.netfilter.nf_conntrack_tcp_timeout_established=1200
sysctl -e -w net.netfilter.nf_conntrack_tcp_timeout_close_wait=60
sysctl -e -w net.netfilter.nf_conntrack_tcp_timeout_fin_wait=120
sysctl -e -w net.netfilter.nf_conntrack_tcp_timeout_time_wait=120
}
case "$1" in
status)
if [[ -z ${nf_max} ]]; then
echo 'nf_conntrack disabled.'
else
echo "nf_conntrack used: ${nf_cur}/${nf_max}."
fi
;;
disable)
clean_ipt_rule
fuck_ipt_mod
$0 status
;;
enable)
ipt_enable
$0 status
;;
*)
echo "Usage: $0 {status|disable|enable}"
exit 2
;;
esac
exit 0
開啓防火牆
- 啓用防火牆,並監控
nf_conntrack狀態:
/opt/iptables.sh enable watch -n 1 -d '/opt/iptables.sh status'
施加壓力
- 找臺機器給
ssh加壓:
watch -n 0.1 -d 'curl -s demo.higkoo.com:22'
故障重現
- 因爲測試壓力小,手動調小
nf_conntrack_max:
sysctl -w net.netfilter.nf_conntrack_max=20
- 而後故障就重現了:
- 不用的話就
disable防火牆,腳本中的enable會開啓並作iptables優化
sudo /opt/iptables.sh status sudo /opt/iptables.sh enable sudo /opt/iptables.sh disable
啥也別說了,都寫在腳本里了。linux
相關文章
- 1. 如何關閉iOS7中的iPhone廣告跟蹤系統
- 2. jboss部署於linux系統,自動關閉問題跟蹤
- 3. windows線程跟蹤_跟蹤爲什麼Windows 7被關閉
- 4. debian 9系統安裝配置iptables
- 5. ubuntu關閉iptables
- 6. IT-標準化-系列-6.關閉事件跟蹤程序
- 7. 關閉selinux和iptables
- 8. UBUNTU 關閉iptables的方法
- 9. 核相關跟蹤
- 10. 關閉Debian防火牆
- 更多相關文章...
- • 系統定義的TypeHandler - MyBatis教程
- • Eclipse 關閉項目 - Eclipse 教程
- • Docker容器實戰(七) - 容器眼光下的文件系統
- • NewSQL-TiDB相關
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
