Perguntas sobre 'ip-conntrack'

1
resposta

contadores connlimit iniciam depois que o iptables é restaurado

Eu tenho uma regra connlimit no iptables que permite apenas 5 conexões à porta 80. iptables -A FORWARD -p tcp -m tcp --syn --dport 80 -m connlimit --connlimit-above 5 --connlimit-saddr -j DROP Esta regra funciona bem até eu restaurar o...
23.12.2015 / 09:45
2
respostas

O MySQL tem mais de 95.000 conexões, mas a lista de processos está vazia?

Eu tenho um servidor que está executando o mysql e está usando muita memória. Eu corro: mysql > show status like '%onn%'; +--------------------------+-------+ | Variable_name | Value | +--------------------------+-------+ | Abor...
03.11.2014 / 19:12
1
resposta

Existe uma maneira de ter o NPTv6 com rastreamento de conexão no Linux?

Aparentemente, a implementação de NPTv6 (Tradução de prefixo de rede para IPv6) que está atualmente no kernel do Linux é incompatível com a conexão rastreamento. Isso é bastante decepcionante, já que eu sinto que o NPTv6 é uma solução muito ma...
18.12.2016 / 15:08
0
respostas

O Linux ainda impõe um limite de rastreamento de conexão?

Nós atualizamos recentemente para o Ubuntu 16.04 (kernel 4.4) e notei um novo comportamento em relação ao net.netfilter.nf_conntrack_max. No passado (com o 12.04 executando o 3.2), se você batesse no nf_conntrack_max, não conseguiria estabelecer...
21.04.2017 / 15:23
0
respostas

iptables connlimit-above permitindo mais conexões do que o desejado

Estou tentando definir um limite de conexão por ip em um nó do kubernetes usando o iptables connlimit. Como cada contêiner na VM tem um IP de origem diferente (rede de sobreposição), o uso de connlimit deve funcionar. Eu adicionei a regra ipt...
24.07.2018 / 04:46
0
respostas

Como capturar os marcadores conntrack corretamente?

O servidor com DHCP (iface eth0 172.5.1.1/24) fornece internet via túnel openvpn (iface tun0 10.8.1.6) para clientes lan. Eu preciso marcar conexões tcp do cliente de lan exato, por exemplo 172.5.1.123 iptables -I FORWARD -m conntrack --ctori...
27.01.2018 / 21:21
1
resposta

detalhes das entradas do conntrack

Eu estou lendo a documentação do Iptables sobre o rastreamento de conexão aqui e tenho problemas para entender a parte seguinte , destacado por mim: tcp 6 117 SYN_SENT src=192.168.1.6 dst=192.168.1.9 sport=32775 \ dport=22 [UNREPLIED] sr...
25.10.2017 / 17:26
0
respostas

Número padrão de conexões permitidas por ip por minuto / segundo

Eu tenho as seguintes regras aplicadas como parte da prevenção contra DDoS. Para evitar pacotes falsificados -A INPUT -s 255.0.0.0/8 -j LOG --log-prefix "Spoofed source IP" -A INPUT -s 255.0.0.0/8 -j DROP -A INPUT -s 0.0.0.0/8 -j LOG --log...
14.12.2016 / 11:57
0
respostas

conntrack -E - relatório do contador de tráfego

Atualmente, estou no processo de escrever uma pequena solução que receberia continuamente a saída do comando conntrack -E e, junto com outras estatísticas, contaria / monitoraria o tráfego. O único problema / desafio que enfrento é que, "c...
06.08.2015 / 15:05
0
respostas

Como descartar o pacote se a entrada do conntrack não estiver presente

Existe uma maneira de verificar se o conntrack existe antes de executar uma ação específica em cadeias de iptables? Eu gostaria de soltar o pacote em mangle-postrouting se a entrada conntrack não estiver presente, não quero que ela vá para na...
28.07.2015 / 02:00