$ sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state $ sudo modprobe -r nf_conntrack 查看当前的连接数: grep nf_conntrack /proc/slabinfo 查出目前 nf_conntrack 的排名: cat /proc/net/nf_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq...
这个 120 秒是由 /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_syn_sent 文件所给出。 当服务器对 SYN 请求发出应答数据包时,TCP 连接进入 SYN_RECV 状态,当应答数据包通过防火墙时,防火墙在 nf_conntrack 文件中也会将状态更新为 SYN_RECV。此时,对于 state 模块来说,它就是一个 ESTABLISHED 状态了。
nf_conntrack_checksum nf_conntrack_tcp_timeout_established nf_conntrack_count nf_conntrack_tcp_timeout_fin_wait nf_conntrack_events nf_conntrack_tcp_timeout_last_ack nf_conntrack_events_retry_timeout nf_conntrack_tcp_timeout_max_retrans nf_conntrack_expect_max nf_conntrack_tcp_timeout_syn_recv ...
$ pwd /proc/sys/net/ipv4/netfilter$ ls ip_conntrack_buckets ip_conntrack_tcp_loose ip_conntrack_tcp_timeout_syn_recv ip_conntrack_checksum ip_conntrack_tcp_max_retrans ip_conntrack_tcp_timeout_syn_sent ip_conntrack_count ip_conntrack_tcp_timeout_close ip_co...
通过conntrack -L与/proc/net/nf_conntrack是完全⼀样的,除了少了前⾯的两列。下⾯以cat /proc/net/nf_conntrack为例进⾏说明:ipv4 2 tcp 6 25 SYN_SENT src=182.168.77.7 dst=42.236.9.57 sport=57430 dport=443 [UNREPLIED] src=42.236.9.57 dst=182.168.77...
复制代码 代码如下:pwd /proc/sys/net/ipv4/netfilter $ ls ip_conntrack_buckets ip_conntrack_tcp_loose ip_conntrack_tcp_timeout_syn_recv ip_conntrack_checksum ip_conntrack_tcp_max_retrans ip_conntrack_tcp_time...
此时,对于 state 模块来说,它就是一个 ESTABLISHED 状态了。如果客户端不能接着响应服务器,那么防火墙在 60 秒后会清除该连接记录,这个 60 秒是由 /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_syn_recv 文件所给出的。 最后,当客户端和服务器端完成三次握手 后,nf_conntrack 模块也会将 /proc/net...
差不多21万的conntrack记录。基本上97%的都是处于server主动断开并且处于time_wait状态的连接,3%是正在建立的establishted状态的连接。 [root@w-openstack53 /home/wangbaoping]# ss -s Total: 363 (kernel 1225) TCP: 34 (estab 24, closed 3, orphaned 0, synrecv 0, timewait 1/0), ports 0 ...
nf_conntrack_count nf_conntrack_tcp_timeout_fin_wait nf_conntrack_events nf_conntrack_tcp_timeout_last_ack nf_conntrack_events_retry_timeout nf_conntrack_tcp_timeout_max_retrans nf_conntrack_expect_max nf_conntrack_tcp_timeout_syn_recv
ok,图中长方形小方框已经解释清楚了,还有一种椭圆形的方框conntrack,即connection tracking,这是 netfilter 提供的连接跟踪机制,此机制允许内核” 审查” 通过此处的所有网络数据包,并能识别出此数据包属于哪个网络连接 (比如数据包 a 属于IP1:8888->IP2:80这个 tcp 连接,数据包 b 属于ip3:9999->IP4:53这个 ud...