nf_conntrack table full - iptables помогите

2

2

Всех с наступившим.

Проблема - в логи постоянно падает nf_conntrack table full. Увеличивал net.ipv4.netfilter.ip_conntrack_max до миллионных значений, но все равно забивается и опять ошибка в логи. Возможно ли это из-за того что у меня топорно написаны правила iptables? Шапку создал iptables-persistent, а все A INPUT я сам прописал.

*nat
:PREROUTING ACCEPT [14844953:854574188]
:INPUT ACCEPT [14817325:853139376]
:OUTPUT ACCEPT [4791916:288265361]
:POSTROUTING ACCEPT [4791916:288265361]
COMMIT
*mangle
:PREROUTING ACCEPT [211044859:258825462768]
:INPUT ACCEPT [211044859:258825462768]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [173551186:193987297344]
:POSTROUTING ACCEPT [173551186:193987297344]
COMMIT
*raw
:PREROUTING ACCEPT [211044859:258825462768]
:OUTPUT ACCEPT [173551186:193987297344]
COMMIT
*filter
:INPUT ACCEPT [41014:17243465]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [55481:251087923]

-A INPUT -p tcp -m tcp --dport 80 -m string --string "GET /w00tw00t.at.ISC.SANS." --algo bm --to 70 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/24 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/24 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -d xx.xx.xx.xx -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -d xx.xx.xx.xx -p tcp -m tcp --dport 3306 -j DROP

COMMIT

Ссылка

←	Откусить место от ext4

установить lxml

→

sysctl -a | egrep 'conntrack_(max|count)'

dGhost ★★★
(05.01.15 07:10:40 MSK)

Ответ на: комментарий от dGhost 05.01.15 07:10:40 MSK

net.netfilter.nf_conntrack_max = 1548576
net.netfilter.nf_conntrack_count = 134135
net.ipv4.netfilter.ip_conntrack_max = 1548576
net.ipv4.netfilter.ip_conntrack_count = 134134
net.nf_conntrack_max = 1548576

rst630
(05.01.15 07:19:00 MSK) автор топика

Ответ на: комментарий от rst630 05.01.15 07:19:00 MSK

такая нагрузка вызвана нелегимным трафиком? что еще известно о характере нагрузки (тип трафика? pps?)?

dGhost ★★★
(05.01.15 07:48:43 MSK)

Ответ на: комментарий от dGhost 05.01.15 07:48:43 MSK

сервер под трафиком на 80 порту - крутится высокопосещаемый сайт. Не лигитимный трафик не замечаю - все как обычно.

rst630
(05.01.15 08:17:38 MSK) автор топика

Ответ на: комментарий от dGhost 05.01.15 07:48:43 MSK

pps в данный момент около 6k/s

rst630
(05.01.15 08:19:42 MSK) автор топика

Ссылка

Стесняюсь спросить ну если у вас политика

:INPUT ACCEPT [41014:17243465]

то зачем все эти правила вида

-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT

политика их и так разрешает.

last_unit
(05.01.15 12:02:59 MSK)

Ответ на: комментарий от last_unit 05.01.15 12:02:59 MSK

да этот косяк я уже заметил и правила на 80й порт удалил, но ситуацию это не улучшило

rst630
(05.01.15 12:55:55 MSK) автор топика

Ответ на: комментарий от rst630 05.01.15 12:55:55 MSK

да все энти правила косяк, по ним можно все и всем, только для двух несчастных хостов блокируется порт мускула. установи везде политику дроп и разреши только то что нужно.

last_unit
(05.01.15 13:07:20 MSK)

Либо я что-то не понимаю, либо ты темнишь. iptables-save это конечно хорошо, но не факт что показывает текущее состояние. Ты уверен что привёл вывод команды, а не содержимое конфига ( вроде /etc/sysconfig/iptables ) ?

Попробуй выгрузить модуль через modrobe -rv $module ( сначала смотри зависимости через lsmod | grep -i nf_conn )

router ★★★★★
(05.01.15 13:11:42 MSK)
Последнее исправление: router 05.01.15 13:14:39 MSK (всего исправлений: 1)

Ответ на: комментарий от router 05.01.15 13:11:42 MSK

привет rules.v4 из etc, но что это меняет? Вот iptables -L:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       tcp  --  anywhere             anywhere             tcp dpt:http STRING match  "GET /w00tw00t.at.ISC.SANS." ALGO name bm TO 70
ACCEPT     tcp  --  xx.xx.xx.xx    anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx         anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx         anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx         anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx         anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx         anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx        anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:ftp
DROP       tcp  --  anywhere             anywhere             tcp dpt:ftp
ACCEPT     tcp  --  xx.xx.xx.xx    anywhere             tcp dpt:ssh
ACCEPT     tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:ssh
ACCEPT     tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:ssh
ACCEPT     tcp  --  xx.xx.xx.xx        anywhere             tcp dpt:ssh
ACCEPT     tcp  --  xx.xx.xx.xx         anywhere             tcp dpt:ssh
DROP       tcp  --  anywhere             anywhere             tcp dpt:ssh
DROP       tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:http
DROP       tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:http
DROP       tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:http
ACCEPT     tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:mysql
ACCEPT     tcp  --  xx.xx.xx.xx  anywhere             tcp dpt:mysql
ACCEPT     tcp  --  xx.xx.xx.xx         anywhere             tcp dpt:mysql
ACCEPT     tcp  --  xx.xx.xx.xx   anywhere             tcp dpt:mysql
ACCEPT     tcp  --  xx.xx.xx.xx   anywhere             tcp dpt:mysql
ACCEPT     tcp  --  xx.xx.xx.xx     anywhere             tcp dpt:mysql
DROP       tcp  --  anywhere             localhost.localdomain  tcp dpt:mysql

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

rst630
(05.01.15 14:27:11 MSK) автор топика

Ответ на: комментарий от rst630 05.01.15 14:27:11 MSK

не забывайте ставить ближе к началу правила типа

-m state --state INVALID -j DROP
-m state --state NEW -p tcp ! --syn -j DROP

это уменьшает число левых коннектов в nf_conntrack

С другой стороны, у вас нет правил проверяющих состояние соединения и/или NAT и nf_conntrack в таком случае можно отключить совсем.

А вот правило

-A INPUT -p tcp -m tcp --dport 80 -m string --string "GET /w00tw00t.at.ISC.SANS." --algo bm --to 70 -j DROP

это скрытый DoS для вашего сервера. Дропнув этот сегмент вы получаете незакрытое соединение. IMHO лучше сказать REJECT вместо дроп - он будет адекватно отработан nf_conntrack.

vel ★★★★★
(05.01.15 22:55:40 MSK)

Ответ на: комментарий от vel 05.01.15 22:55:40 MSK

подскажите как вообще отключить conntrack? Видимо он мне вообще не нужен раз я не использую правила на основе состояний соединения? На данный момент снизил net.netfilter.nf_conntrack_tcp_timeout_established до 120 сек, было аж на 5 суток, пока не понял к чему это приведет, но таблица переполняться перестала.

rst630
(06.01.15 05:53:49 MSK) автор топика

Ответ на: комментарий от last_unit 05.01.15 13:07:20 MSK

там где DROP там не хосты а anywhere, так что всем остальным должно дропать.

rst630
(06.01.15 06:00:23 MSK) автор топика

Ссылка

Ответ на: комментарий от rst630 05.01.15 08:17:38 MSK

в iptables таблицу raw, добавь для 80го NOTRACK в оба чейна

anonymous
(06.01.15 09:22:58 MSK)

Ссылка

Ответ на: комментарий от rst630 06.01.15 05:53:49 MSK

Так не загружай модули, либо

iptables -t raw -A PREROUTING -j CT --notrack
iptables -t raw -A OUTPUT -j CT --notrack

vel ★★★★★
(06.01.15 11:33:26 MSK)

Ответ на: комментарий от vel 06.01.15 11:33:26 MSK

Спасибо это помогло.

rst630
(06.01.15 13:39:59 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Откусить место от ext4

General

установить lxml

→

Похожие темы