nf_conntrack_count всегда 0

0

1

Здравствуйте! Помогите пожалуйста, есть машина, через которую идет два разных соединения нетката. Проблема в том, что установлены:

net.nf_conntrack_max = 1

net.netfilter.nf_conntrack_max = 1

Но nf_conntrack_count равен нулю. В iptables никаких правил на этот момент не прописано.

Машина является посредником.

Как только добавляю правило

Iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

или

Iptables -A INPUT -m state –state RELATED,ESTABLISHED -j DROP

nf_conntrack_count сразу принимает положенные значения.

Подскажите, пожалуйста, почему так происходит, если до правила пакеты не добираются (они форвардятся ведь, а не принимаются этой машиной)

Ссылка

←	А что нынче у линуха в энтерпрайзе?

WebGUI для StrongSwan'a

→

Рискну предположить что с пустым файрволом conntrack не задействуется для более быстрой работы. Может и модуль ядра соответствующий не загружен - но это уже надо смотреть что у тебя там в конкретном дистрибутиве делается. Просто форвардить пакеты можно и без conntrack-а.

TL;DR - нет правил в файрволе, использующих данные conntrack - нет и самого conntack

Pinkbyte ★★★★★
(16.06.20 23:07:15 MSK)
Последнее исправление: Pinkbyte 16.06.20 23:07:45 MSK (всего исправлений: 1)

Ответ на: комментарий от Pinkbyte 16.06.20 23:07:15 MSK

Безмерно благодарен!

skoch
(17.06.20 00:57:15 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	А что нынче у линуха в энтерпрайзе?

Admin

WebGUI для StrongSwan'a

→

Похожие темы