iptablesをステートレスにする方法は?
Linuxサーバーを実行していますが、時々-負荷が大きくなり、conntrackテーブルがオーバーフローします。 iptablesファイアウォールルールセットは非常にシンプルなので、ステートレスモードに切り替えたいと思います。 iptablesがステートフル接続追跡モードとステートレスモードで動作できることを知っています。
ファイアウォールルールはすべて適切に配置されていますが、それらはステートレスであることは確かですが、ファイアウォールが実際にステートレスモードで動作していることを確認するにはどうすればよいですか?
パケットが追跡されないようにするには、いくつかのiptablesルールを指定する必要があります。
iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
conntrack をインストールし、出力を確認します。ステートレスである場合、接続は表示されません。
cat /proc/net/ip_conntrackはすべての接続追跡を表示します。
したがって、ステートレスの場合、上記のコマンドの出力は空になります。
(または、cat /proc/net/nf_conntrack)