ฉันใช้เซิร์ฟเวอร์ Linux ที่ - เวลาเผชิญภาระหนักและล้นตาราง conntrack เนื่องจากชุดกฎของไฟร์วอลล์ iptables นั้นง่ายมากฉันต้องการเปลี่ยนเป็นโหมดไร้สัญชาติ ฉันรู้ว่า iptables สามารถทำงานในโหมดการติดตามการเชื่อมต่อ stateful และในโหมดไร้สัญชาติ
กฎไฟร์วอลล์ของฉันอยู่ในสถานที่ฉันค่อนข้างมั่นใจว่าพวกเขาไร้สัญชาติ แต่คำถามของฉันคือฉันจะตรวจสอบได้อย่างไรว่าไฟร์วอลล์ทำงานในโหมดไร้สัญชาติจริง ๆ
คำตอบ:
คุณต้องระบุกฎ iptables บางอย่างเพื่อป้องกันไม่ให้แพ็คเก็ตที่จะควบคุม:
iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
cat /proc/net/ip_conntrack แสดงการติดตามการเชื่อมต่อทั้งหมด
ดังนั้นถ้ามันไร้สัญชาติเอาต์พุตของคำสั่งด้านบนควรว่างเปล่า
(หรือใช้cat /proc/net/nf_conntrack)
ติดตั้งconntrackและดูผลลัพธ์ ฉันค่อนข้างมั่นใจว่าถ้าคุณไร้สัญชาติจะไม่มีการเชื่อมต่อใด ๆ ปรากฏขึ้น