Desativar nf_conntrack

nf_conntrack está embutido no kernel ... Você não pode desativá-lo:

# lsmod | grep con

nf_conntrack_ipv4      14487  2 
nf_defrag_ipv4         12729  1 nf_conntrack_ipv4
nf_conntrack           83275  6 ipt_MASQUERADE,nf_nat,xt_state,nf_nat_ipv4,iptable_nat,nf_conntrack_ipv4

nf_conntrack é o módulo do kernel para lidar com comunicação de rede :

# rmmod nf_conntrack

Error: Module nf_conntrack is in use by: ipt_MASQUERADE nf_nat xt_state nf_nat_ipv4 iptable_nat nf_conntrack_ipv4

Se você precisar desativá-lo, você pode tentar desativar todos os módulos que dependem dele; mas você pode achar que isso não é possível. Eu, por exemplo, como um sistema em rede, então eu nem vou tentar;)

1) remova qualquer referência ao módulo de estado no iptables. Então, não há regras como

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

the state module requires the nf_conntrack (ip_conntrack) module

2) remova a seguinte linha (se existir) em / etc / sysconfig / iptables-config

IPTABLES_MODULES="ip_conntrack_netbios_ns"

That module requires ip_conntrack which we are trying to ditch.

3) recarregue o iptables sem suas regras de estado.

sudo iptables -F

# add your real rules

4) elimine os módulos. Eu tive que usar:

sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state

sudo modprobe -r nf_conntrack

confirm you don't have a reference to /proc/net/nf_conntrack

As respostas listadas até agora estão erradas.

Primeiro, se estiver listado como um módulo, definitivamente não é "incorporado ao kernel"

Criar um arquivo como o abaixo fará com que ele seja desativado à força.

# cat /etc/modprobe.d/conntrack.conf
install nf_conntrack /bin/false