我正在运行Proxmox 2.2(Debian 2.6.32-11-pve)
目前,我已经添加了大约60条规则到iptables的mangle表来阻止攻击。 但是当我尝试添加一个新的规则,服务器停止工作,不能访问了(新规则只是阻止一个IP,我不会阻止自己)。
在服务器出现故障时,没有特殊的日志/var/log/messages ,但在消息日志中反复发现以下错误:
nf_conntrack:表格已满
我修改了/etc/sysctl.conf并增加了nf_conntrack_max数字,但问题仍然存在。
我想知道这是与mangle表中的规则数相关的故障? 本表中的规则数量是否有限制?
我已经花了很多时间为我的服务器构build一个自动防火墙,它都基于mangle表。
nf_conntrack表不包含防火墙规则。 这是连接跟踪数据的表格。 你可以在文件/proc/net/ip_conntrack看到有什么
要解决nf_conntrack限制的问题,请考虑这一点:
/etc/sysctl.conf增加net.netfilter.nf_conntrack_max和net.nf_conntrack_max -j NOTRACK禁用某些数据包的连接跟踪 Iptables对规则的数量没有合理的限制,因为即使有几千条规则,它也会很慢。