你如何阻止在X端口新的传入TCP连接? 需要用iptables来完成。 我实际上有一个iptables命令,但是即使ip_conntrack_max设置的很高,我们也总是到达ip_conntrack_max。 有没有办法做到不跟踪?
如果您想阻止尝试build立到给定端口的新会话,但仍然允许数据包build立会话,您需要执行以下操作:
iptables -A INPUT -j DROP -p tcp --syn -destination-port dport
这应该允许从本地机器发起的任何连接,恰好使用dport作为其本地端口号。
这应该阻止交通不涉及conn_track:
iptables -A INPUT -j DROP -p tcp --destination-port <your port> 只有在规则中指定-m state或--state时,连接跟踪才应该执行其工作。
丢弃–syn将停止新的连接,不应该有任何半开放的连接跟踪。 一般情况下,在“未保持跟踪”的情况下,可以在-t raw -I PREROUTING阶段进行过滤。