ip-conntrack
iptables::drop が ESTABLISHED、RELATED の前または後に無効ですか?
どちらの場合も、INVALID 対 ESTABLISHED、RELATED チェックが等しく高速であるか(状態が完全に直交している場合)、ESTABLISHED を受け入れる前に INVALID を削除する必要があるか、または ESTABLISHED を安全に受け入れることができるかはわかりません。間違ったものを削除しますか? ...
ip-conntrack
ip-conntrack
Conntrackコマンドはストリームを永久に生成しませんでした。
接続トレースの場合、次のコマンドがストリーム項目を生成しないことがあります。フローテーブルエントリの生成が断続的に発生する理由をご存知ですか? conntrack -I -n -p udp -s 10.15.109.12 -d 239.10.200.1 --src-nat 10.15.109.60 --dst-nat 239.10.200.1 --sport 60003 --dport 7000 --report --reply-port-src 7000 --reply-port-dst 60003 ...
ip-conntrack
NFTABLESにおけるDNATとSYNPROXYの結合
ロードバランシングにはDNATが必要で、SYNフラッディングを軽減するためにSYNPROXYが必要なアプリケーションがあります。 SYNPROXYがない場合は、円形DNATをPREROUTINGフックのNATチェーンに入れます。ただし、SYNPROXYを追加すると、ダウンストリームサーバーとの最初の偽装通信がOUTPUTパスを介して(正しく理解されている場合)、この問題が複雑に見えます。私が読んだ提案によると、DNATはNATチェーンのOUTPUTフックに移動する必要がありますが、奇妙に見えます。最初のSYN、SYN-ACK、ACKの後、パケットはどのように...
ip-conntrack
ネットワークなしでconntrackセッションを作成する
conntrack関連のツールをテストしようとしています。テストは、ネットワークアクセスのない単一の仮想マシンで実行されました。テストできるようにconntrackセッションを作成する最も簡単な方法は何ですか? ...
ip-conntrack
Netfilterをインストールしてconntrackイベントを有効にする方法は?
私はこれに会った買戻契約そしてその段階を理解しようとしましょう。 これはNetfilter conntrackイベントを有効にするためのものだと思いますが、わかりません。 これらのメッセージを受け取るには何を実行する必要がありますか? -------------------------------------------------------- 2. The minimum requirements for the kernel configuration --------------------------------------------------...
ip-conntrack
Dockerコンテナ間のオーバーレイネットワーク接続遅延時間は1の倍数です。
トラフィック(接続頻度)が高いオーバーレイネットワークで互いに通信する2つのコンテナは、時々ほぼ正確に1秒の倍数で接続遅延を経験します。 2 つのコンテナが同じホスト上で実行されるのか、2 つの物理マシン間で実行されるのかは重要ではありません。 Pingにはまったく遅延がなく、TCP接続のみが影響を受けます。 これはDNSの問題ではありません。他のコンテナのIPアドレスを使用して接続をテストします。 私は以下に基づいていくつかのカーネルパラメータを設定しようとしました。https://github.com/moby/moby/issues/35082私の...
ip-conntrack
conntrackタグを使用してIptableをNftablesファイアウォールに移植する
こんにちは、尊敬するコミュニティの皆さん、 強力なiptablesファイアウォールをnftablesに移植するのに問題があります。コンテンツの入力/出力/配信(主にconntrackタグ)に問題はありません。現在私がしていることは次のとおりです。 ip1/このコマンドを使用して、ルールタグとconntrackタグを持つ3つのルーティングテーブルを作成します。それぞれには、FDDI、VPN、または4G接続であるデフォルトパスがあります。 ip route add table maincnx default dev $WAN via 192.168.1.2 ip...
ip-conntrack
iptablesを使って発信するパケットを表示する
iptablesに出てくるパケットを表示し、応答を通じて識別できますか?非常に単純な発信規則があります。 iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED --m owner --uid-owner XXX -j ACCEPT このルールの応答を受け入れる1つの方法は、ESTABLISHED、RELATED状態に入ってくるすべてのパケットを受け入れることです。 iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RE...
ip-conntrack
非アクティブTCP接続を正常に閉じます。
プロセスがタイムアウトする前にプロセスで開かれたTCP接続を「正常に」閉じることができるコマンドはありますか? CLOSE_WAIT/TIME_WAIT状態のすべてのTCP接続を正常に終了したいと思います。ネットフィルタ接続追跡テーブルタイムアウトに達する前に。 私が言う優雅さはまさに私です。閉鎖プログラムのソケットです。 ...
ip-conntrack
conntrackは接続をどのくらい覚えていますか?
したがって、協会conntrackは、接続が終了した後にX秒を覚えているようです。 Xの長さと設定可能かどうかを知っている人はいますか? ...
ip-conntrack
Conntrack および動的 ipset/iptables ルール
conntrackモジュールのいくつかの基本概念を理解していません。 modinfoまず、私のシステム(Ubuntu 18.04)で有効になっていること、nf_conntrackに関する情報が表示され、/proc/modulesnf_conntrackに表示されているファイルが「live」であることを確認しました。 次に、次のテスト設定があります。 マシンA(192.168.1.2)<------>ルーターマシン(192.168.1.1&192.168.2.1)<---->マシンB(192.168.2.2) ルータシステムには...
ip-conntrack
ctmarkのようにnfmarkを見る方法はありますか?
私はこれがiptables --set-markパケットにタグを追加しないことを理解しています。MARK目標は、タグをカーネルデータ構造のパケットに関連付けることです。パケット自体は変更されません。しかし、関連タグ付きパケットを見る方法はありますか? ctmark(targetで設定された接続タグを使用してCONNMARK)これを確認できます/proc/net/nf_conntrack。nfmark(パケット表示)を見るのと似たようなものを探しています。 私たちはそれを見ることができますctmark。 iptables -I OUTPUT 1 -t m...
ip-conntrack
マルチキャストICMPv6が返され、conntrackステータスが無効です。
私はIPv6のマルチキャスト機能を研究しています。 $ ping ff02::2%wlp3s0 これにより、通常、ローカルネットワークセグメントのすべてのルータがエコー応答(ウィキペディア-IPv6)。私の場合はホームルーターです。 しかし、もともとnftablesルールがエコー応答をブロックしていることがわかりました。 生のnftablesルールはエコー応答を防ぎます。 table inet filter { chain input { type filter hook input priority 0; policy ...
ip-conntrack
nf_conntrack_sipが機能しない場合があります。 iptablesを再起動すると、通常は問題が解決します。
Asteriskを実行しているボックスでnf_conntrack_sipを使用しようとしています。つまり、トラフィックを別の VoIP ボックスにルーティングしません。インストーラは再起動するまで機能します。再起動後、nf_conntrack_sip はほぼ常に動作を停止し、メディア トラフィックは破棄されます。 conntrack --dump | grep -E 'sip|helper' # No output matching 'sip' nor 'helper' while a call is in progress (albeit no audi...
ip-conntrack
iptables connlimit-above は予想よりも多くの接続を可能にします。
kubernetesノードでIPごとの接続制限を設定するためにiptables connlimitを使用しようとしています。 VMの各コンテナには異なるソースIP(オーバーレイネットワーク)があるため、connlimitを使用すると機能します。ルールを追加しました。 iptables -I FORWARD 1 -p tcp --syn -m connlimit --connlimit-above 25 --connlimit-mask 32 -j REJECT --reject-with tcp-reset コンテナに外部サービスへの50の接続をバース...