nf_conntrack table full - iptables помогите
Форум — General
Всех с наступившим.
Проблема - в логи постоянно падает nf_conntrack table full. Увеличивал net.ipv4.netfilter.ip_conntrack_max до миллионных значений, но все равно забивается и опять ошибка в логи. Возможно ли это из-за того что у меня топорно написаны правила iptables? Шапку создал iptables-persistent, а все A INPUT я сам прописал.
*nat
:PREROUTING ACCEPT [14844953:854574188]
:INPUT ACCEPT [14817325:853139376]
:OUTPUT ACCEPT [4791916:288265361]
:POSTROUTING ACCEPT [4791916:288265361]
COMMIT
*mangle
:PREROUTING ACCEPT [211044859:258825462768]
:INPUT ACCEPT [211044859:258825462768]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [173551186:193987297344]
:POSTROUTING ACCEPT [173551186:193987297344]
COMMIT
*raw
:PREROUTING ACCEPT [211044859:258825462768]
:OUTPUT ACCEPT [173551186:193987297344]
COMMIT
*filter
:INPUT ACCEPT [41014:17243465]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [55481:251087923]
-A INPUT -p tcp -m tcp --dport 80 -m string --string "GET /w00tw00t.at.ISC.SANS." --algo bm --to 70 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/24 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/24 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/24 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 80 -j DROP
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -s xx.xx.xx.xx/32 -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -d xx.xx.xx.xx -p tcp -m tcp --dport 3306 -j DROP
-A INPUT -d xx.xx.xx.xx -p tcp -m tcp --dport 3306 -j DROP
COMMIT