nf_conntrack_maxとnf_conntrack_expect_maxの違いは何ですか?
私は何を理解していますnf_conntrack_maxですが、nf_conntrack_expect_max実際にそうですか?私はこれについての説明をどこにも見つけることができませんでした。
接続追跡システムは、2つの異なるテーブルを維持します。1つはアクティブな接続を追跡するためのもので、もう1つはアクティブであると/期待される/接続を追跡するためのものです。予想される接続の例は、制御接続とデータ接続の両方を使用するFTP接続です。制御接続が開かれると、データ接続が開かれることが期待されます。
単一テーブルソリューションでは、サービス拒否は、テーブルを期待値で満たし、正当でアクティブな接続を枯渇させることによってトリガーされる可能性があります。別の表はそれを防ぐのに役立ちます。
2つのシステム設定では、nf_conntrack_expect_maxは期待値テーブルのエントリの最大数であり、その機能はconntrackテーブルのnf_conntrack_maxの機能と同じです。