A tabela mangle do iptables no squeeze debian tem limitações no número de regras?

1

Estou executando o Proxmox 2.2 (Debian squeeze 2.6.32-11-pve)

Atualmente, adicionei cerca de 60 regras à tabela mangle do iptables para bloquear ataques. mas quando tento adicionar uma nova regra, o servidor pára de funcionar e não está mais acessível (a nova regra é apenas bloquear um IP e não estou me bloqueando).

Não há registros especiais em /var/log/messages no momento do mau funcionamento do servidor, mas eu encontro o seguinte erro repetidamente no log de mensagens:

nf_conntrack: table full

Eu modifiquei /etc/sysctl.conf e aumentei o número nf_conntrack_max , mas o problema ainda existe.

Eu queria saber se este defeito está relacionado ao número de regras na tabela mangle? Existe alguma limitação no número de regras nesta tabela?

Já passei muito tempo na criação de um firewall automático para o meu servidor e tudo é baseado na tabela mangle.

    
por Hamed Afshar 26.12.2012 / 09:41

1 resposta

1
A tabela

nf_conntrack não contém regras de firewall. É uma tabela para dados de rastreamento de conexão. Você pode ver o que há no arquivo /proc/net/ip_conntrack

Para resolver o problema com o limite nf_conntrack, considere isto:

  1. aumente net.netfilter.nf_conntrack_max e net.nf_conntrack_max em %código%
  2. desativa o rastreamento de conexão para determinados pacotes usando /etc/sysctl.conf na regra iptables

O Iptables não tem limite razoável no número de regras, porque será muito lento mesmo com alguns milhares de regras.

    
por 26.12.2012 / 09:57