Como ativar o iptables sem estado?

17

Estou executando um servidor Linux que, de tempos em tempos, enfrenta uma carga pesada e a tabela conntrack está cheia. Como o conjunto de regras do firewall do iptables é muito simples, eu gostaria de transformá-lo no modo sem estado. Eu sei que o iptables pode operar no modo de rastreamento de conexão com estado e no modo sem estado.

Minhas regras de firewall estão em vigor. Tenho certeza de que elas não têm estado, mas minha pergunta é como posso verificar se o firewall está realmente operando no modo sem estado?

tex
fonte

Respostas:

19

Você precisa especificar algumas regras do iptables para impedir que os pacotes sejam rastreados:

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
profy
fonte
na verdade, é "-t raw" e não "-t RAW", mas essa foi a peça que faltava. Obrigado!
tex
2
Desculpe, mas isso não responde à sua pergunta, pois era "como posso verificar se o firewall está realmente operando no modo sem estado"?
poige
Por favor, desculpe minha redação. Meu inglês não é perfeito, mas essa foi exatamente a solução para o meu problema.
tex
4

cat /proc/net/ip_conntrack mostra todo o rastreamento de conexão.

Portanto, se não tiver estado, a saída do comando acima deve estar vazia.

(Como alternativa, use cat /proc/net/nf_conntrack)

pepoluan
fonte
3

Instale o conntrack e observe a saída. Tenho certeza de que, se você não tiver estado, nenhuma conexão será exibida.

Zoredache
fonte