通过conntrack -L与/proc/net/nf_conntrack是完全一样的,除了少了前面的两列。 下面以cat /proc/net/nf_conntrack为例进行说明: ipv4 2 tcp 6 25 SYN_SENT src=182.168.77.7 dst=42.236.9.57 sport=57430 dport=443 [UNREPLIED] src=42.236.9.57 dst=182.168.77.7 sport=443 dport=57430 mark=0 secctx=...
ip_conntrack_count ip_conntrack_tcp_timeout_close ip_conntrack_tcp_timeout_syn_sent2 ip_conntrack_generic_timeout ip_conntrack_tcp_timeout_close_wait ip_conntrack_tcp_timeout_time_wait ip_conntrack_icmp_timeout ip_conntrack_tcp_timeout_established ip_conntrack_udp_timeout ip_conntrack_log_inva...
这个 120 秒是由 /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_syn_sent 文件所给出。 当服务器对 SYN 请求发出应答数据包时,TCP 连接进入 SYN_RECV 状态,当应答数据包通过防火墙时,防火墙在 nf_conntrack 文件中也会将状态更新为 SYN_RECV。此时,对于 state 模块来说,它就是一个 ESTABLISHED 状态了。
ip_conntrack_count ip_conntrack_tcp_timeout_close ip_conntrack_tcp_timeout_syn_sent2 ip_conntrack_generic_timeout ip_conntrack_tcp_timeout_close_wait ip_conntrack_tcp_timeout_time_wait ip_conntrack_icmp_timeout ip_conntrack_tcp_timeout_established ip_conntrack_udp_timeout ip_conntrack_log_inva...
第5 个字段和上面的 UDP 的一样,也是一个时间值。它表示,如果客户端在超过 120 秒后还无法得到服务器端的应答,那么该连接状态在防火墙上就要被清除。这个 120 秒是由 /proc/sys/net/netfilter/nf_conntrack_tcp_timeout_syn_sent 文件所给出。
通过conntrack -L与/proc/net/nf_conntrack是完全⼀样的,除了少了前⾯的两列。下⾯以cat /proc/net/nf_conntrack为例进⾏说明:ipv4 2 tcp 6 25 SYN_SENT src=182.168.77.7 dst=42.236.9.57 sport=57430 dport=443 [UNREPLIED] src=42.236.9.57 dst=182.168.77...
[NEW] tcp 6 120 SYN_SENT src=9.144.119.97 dst=11.166.65.134 sport=22611 dport=7443 [UNREPLIED] src=11.166.65.134 dst=9.144.119.97 sport=7443 dp ... ... 连接跟踪表存放于系统内存中,因此也可以直接查看文件/proc/net/nf_conntrack查看当前跟踪的所有 conntrack 条目。 如下...
netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个 “新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参数应该 “足够好”,其实不是。默认参数面...
代码如下:pwd /proc/sys/net/ipv4/netfilter $ ls ip_conntrack_buckets ip_conntrack_tcp_loose ip_conntrack_tcp_timeout_syn_recv ip_conntrack_checksum ip_conntrack_tcp_max_retrans ip_conntrack_tcp_timeout_syn_sent &#...
_conntrack_tcp_timeout_syn_sent2 ip_conntrack_generic_timeout ip_conntrack_tcp_timeout_close_wait ip_conntrack_tcp_timeout_time_wait ip_conntrack_icmp_timeout ip_conntrack_tcp_timeout_established ip_conntrack_udp_timeout ip_conntrack_log_invalid ip_conntrack_tcp_timeout_fin_wait ip_conntrack_...