iptables/netfilter具有追踪连接状态功能,用于描述各会话连接之间的关系性。一般为四层协议:TCP/UDP/ICMP等等。

为什么要用追踪连接状态呢?iptables/netfilter默认规则为拒绝的情况下,当用户访问一个iptables/netfilter允许的服务(端口)的时候,服务器如果想要回复客户端则还需要为其设定一个放行的规则(如果有多个就要多个规则),然而这是多余的,当防火墙允许客户端向某服务通信时,则认为此连接一定是符合规则的,与之相对的通信都应该是可靠的,可以对其放行。这样就可以实现一条规则放行所有可信的通信,而不用多条规则。

iptables/netfilter追踪的连接状态有四种:

NEW 新连接,发送的第一个包;
ESTABLISHED 已经建立的连接
RELATED

数据连接和命令连接之间的关系,FTP服
INVALID 无效的报文请求,例如TCP的SYN,ACK,FIN都为1

iptables/netfilter的状态追踪由state模块提供,state底层依赖于nf_conntrack(2.6内核之前叫作ip_conntrack),nf_conntrack是内核功能,负责具体的连接追踪的实施。

nf_conntrack是有限制的,其根据内部算法,会在内核空间(内存)中记录各所追踪的连接的状态,并将其映射到/proc/net/nf_conntrack文件中。nf_conntrack连接追踪的限制由/proc/sys/net/nf_conntrack_max文件控制,可以修改该文件或者/etc/sysctl.conf。

相关的文件:

/proc/sys/net/目录

/proc/net/目录

# /proc/sys/net/nf_conntrack_max

定义连接追踪的最大值,建议按需调大此值;

# /proc/net/nf_conntrack

记录了当前追踪的所有连接

# /proc/sys/net/netfilter/nf_conntrak_tcp_timeout_established

ESTABLISHED超时时长,默认时间比较长,建议调小此值。

注:由于连接追踪的限制问题,当超过限制时,会导致服务器拒绝服务。此时就需要将/prc/sys/net/nf_conntrak_max调大。如果是一个流量特别大的服务器,不建议开启此功能。

转载于:https://blog.51cto.com/minux/1727684

iptables的连接追踪机制和nf_conntrack调优相关推荐

  1. java知识点8——垃圾回收原理和算法、通用的分代垃圾回收机制、 JVM调优和Full GC、开发中容易造成内存泄露的操作

    垃圾回收原理和算法 内存管理 Java的内存管理很大程度指的就是对象的管理,其中包括对象空间的分配和释放. 对象空间的分配:使用new关键字创建对象即可 对象空间的释放:将对象赋值null即可 垃圾回 ...

  2. JVM性能调优(4)——性能调优工具

    目录 一.JDK工具1.JDK工具2.利用 jps 找出进程3.利用 jstat 查看VM统计信息4.利用 jmap 查看对象分布情况5.利用 jstack 分析线程栈 二.Linux 命令行工具1. ...

  3. linux netfilter 忽略网址,Linux 跟踪连接netfilter 调优

    Netfilter介绍 linux内核中的netfilter是一款强大的基于状态的防火墙,具有连接跟踪(conntrack)的实现.conntrack是netfilter的核心,许多增强的功能,例如, ...

  4. 22-09-02 西安 JVM 类加载器、栈、堆体系、堆参数调优、GC垃圾判定、垃圾回收算法、对象的finalize机制

    这篇文章不少地方都截图了宋红康老师的课件,实在他jvm这块讲的真好.连接地址如下: 尚硅谷宋红康JVM全套教程(详解java虚拟机)_哔哩哔哩_bilibili JVM入门 1.JVM结构图 JVM是 ...

  5. Android性能调优篇之探索垃圾回收机制

    开篇废话 如果我们想要进行内存优化的工作,还是需要了解一下,但这一块的知识属于纯理论的,有可能看起来会有点枯燥,我尽量把这一篇的内容按照一定的逻辑来走一遍.首先,我们为什么要学习垃圾回收的机制,我大概 ...

  6. SpringBoot项目优化和Jvm调优及VisualVM远程连接监控JVM(JMX连接)

    项目调优 作为一名工程师,项目调优这事,是必须得熟练掌握的事情. 在SpringBoot项目中,调优主要通过配置文件和配置JVM的参数的方式进行. 在这边有一篇比较好的文章,推荐给大家! Spring ...

  7. 67.Java垃圾收集机制\对象引用\垃圾对象的判定\垃圾收集算法\标记—清除算法\标记—整理算法\分代收集\垃圾收集器\性能调优

    67.Java垃圾收集机制 67.1.对象引用 67.2.垃圾对象的判定 67.3.垃圾收集算法 67.3.1.标记-清除算法 67.3.2.标记-整理算法 67.3.3.分代收集 67.4.垃圾收集 ...

  8. 网络原理 | TCP/IP中的连接管理机制 重要协议与核心机制

    应用层.传输层.网络层.数据链路层.物理层 一.应用层协议 应用层 是程序猿最最经常打交道的一层 其他四层,都是操作系统.驱动.硬件,实现好了的,咱们不需要管 (除非你是系统工程师,驱动开发工程师-- ...

  9. 性能测试瓶颈分析与系统调优(9)java程序GC机制及性能稳定性调优分析

    8.1 jvm资源监控工具 8.1.1jconsole监控工具 jmap:此工具在jdk安装目录的bin文件夹里面 jmap [option]<pid> 例如:jmap -heap 603 ...

最新文章

  1. 【推荐】关于JS中的constructor与prototype【转】
  2. 使用高级视频质量工具 AVQT 评估视频 | WWDC 演讲实录
  3. matlab输入集合,matlab关于集合的操作大全
  4. 修改WordPress主题导致整个站点404无法访问
  5. 优秀测试管理工具必备九大功能分析
  6. 事务的隔离级别(Transaction isolation levels)5
  7. MFC/VC CxImage 简单配置与使用 (完整版)
  8. 【流浪地球】春节十二响程序开源代码
  9. MemoryBarrier方法
  10. vue 页面保存为本地图片
  11. 【机器学习】机器学习笔记(吴恩达)
  12. 如何免费复制网页内容
  13. 叶史瓦大学计算机科学,本地知名新西兰留学咨询平台排名
  14. 酒桌小游戏喝酒小程序
  15. 解决更换电池引发的乐视2手机(lex620)不进系统问题
  16. Ae 入门系列之九:运动跟踪和稳定(下)
  17. 【操作系统】操作系统的概念、功能和目标
  18. SOUI总结之盒子模型
  19. 远程连接“由于无法升级或重续本地计算机的客户端访问许可证,远程会话被中断的解决
  20. 新酷卡mysql_新酷卡改码教程使用说明

热门文章

  1. mysql所选路径已经存在_【mysql第二次安装不了】mysql安装失败怎么清理干净?
  2. python实现knn分类_KNN图像分类及Python实现
  3. springboot不会运行gc_SpringBoot 深度调优,让你的项目飞起来!
  4. linux软件包管理系统的意义,Linux系统的软件包管理——RPM
  5. python不用sort排序_Python排序之sortamp;sorted
  6. php网站模板怎么修改,自己做网站如何用好并自主修改网上的免费模板
  7. php mian函数,电脑main什么意思
  8. code128java字符_java相关:如何使用Code128字体将文本转换为code128条形码
  9. python模拟抛体运动_换个姿势学物理!用Python和Matplotlib进行模拟
  10. 20190824:(leetcode习题)报数