Articles of conntrack

La "taille" du hashtable conntrack est-elle égale au double du nombre de connections?

Le conntrack docs indique que le hashtable stocke deux "tuples hash" (inputs) par connection, un pour le sens d'envoi et un pour le sens de réponse. Je veux choisir une valeur pour définir le paramètre nf_conntrack_expect_max (documenté ici ), qui définit la taille de la table de hachage. Je ne sais pas si cette "taille" […]

Iptables dans le docker – conntrack ne fonctionne pas

J'essaie de configurer les règles iptables dans le conteneur Docker (image basée sur Centos 7) et le suivi de la connection ne fonctionne pas. # iptables -S INPUT -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT -A INPUT -j DROP Lorsque je fais une connection sortante, il crée une input dans la table conntrack, mais […]

iptables dos limit pour tous les ports

Je sais comment utiliser l'option limit conntrack pour permettre la protection DoS. Cependant, je souhaite append une protection pour limiter plus de 50 connections pour chaque port. Comment puis-je faire ceci? Fondamentalement, je veux m'assurer que chaque port ne peut avoir plus de 50 connections , plutôt que d'appliquer globalement 50 connections (c'est ce que […]

yum ne met pas à jour /etc/rc.d/init.d/iptables

J'ai été touché par le bug https://bugzilla.redhat.com/show_bug.cgi?id=493226 (redémarrer iptables ignore les valeurs dans /etc/sysctl.conf). Ce problème a été corrigé par RH il y a quelque time. Le server a eu une mise à jour de yum plusieurs fois depuis que RH a corrigé ce bug. La dernière course, yum a dit que tout était mis […]

iptables nat prend 30 secondes pour commencer à redirect

Je met en œuvre un proxy SIP qui devrait pouvoir redirect tout le trafic RTP entre deux clients qui ne peuvent pas se joindre. Pour ce faire, j'ai décidé de manipuler les adresses négociées dans les messages SIP / SDP et d'utiliser les règles iptables pour redirect le trafic RTP. Le problème se produit si […]

l'access à ip_conntrack provoque des problèmes de concurrency après la mise à jour yum

J'ai un server Centos 5.11 et un script I cron toutes les 10 minutes Le script est tout simplement ceci #!/bin/sh FNAME=/var/www/html/cached/conntrack_count COUNT=`cat /proc/net/ip_conntrack | /usr/bin/wc -l` echo $COUNT > $FNAME J'ai couru ce script pendant plusieurs années sans problème (le file de sortie est lu périodiquement via http, par un server cacti et ensuite […]

counturs iptables dans la table NAT et l'état NO NOUVEAU

Je lis partout qu'il est dangereux de faire du filtrage de trafic dans la table nat car la table nat est consultée uniquement pour les connections dont l'état est "NOUVEAU" (les packages plus tard contournent la table). Cela signifie-t-il que les counturs de table nat sont incrémentés pour le premier package de chaque connection? Devrais-je […]

Le suivi des connections ne fonctionne pas dans un Debian 7 OpenVZ VPS

J'ai une petite instance VPS (utilisée pour l'hébergement web) qui fonctionne Debian 7 et, pendant quelques semaines, j'ai des problèmes avec mon pare-feu et le suivi des connections. Je n'ai eu aucun problème depuis des mois, mais sans aucune modification du système, les outils de suivi des connections pour iptables ont cessé de fonctionner (je […]

Pare-feu rejetant les "connections" UDP?

J'ai un server qui agrège les journaux de plusieurs autres servers. Il fonctionne surtout très bien, mais de time en time (juste après un redémarrage, mais pas tous les redémarrages), il décidera que diverses "connections" UDP sont dans un état étrange et rejettent les packages entrants. La chose, cela n'a pas de sens, car il […]

Module de connectrack CentOS 6.5 Iptables

J'ai un server VPS sur lequel CentOS 6.5 x64 est installé. La version de Kernel à partir de la command uname est 2.6.18-028stab107 . Lorsque je souhaite utiliser la limitation de débit iptables comme dans la command suivante, j'ai reçu le message d'erreur ci-dessous. iptables -I INPUT -p tcp –dport 80 -m state –state NEW […]