重启iptables为啥内核参数不对了?

最新推荐文章于 2024-01-06 08:00:00 发布
最新推荐文章于 2024-01-06 08:00:00 发布
阅读量387 收藏
点赞数
分类专栏: 侦探工作笔记 文章标签: 网络 linux 服务器 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BUG_zhentan/article/details/122087044
版权
服务器在重启iptables服务后出现丢包问题,原因是nf_conntrack连接跟踪表参数未生效。解决方案包括修改iptables配置、增加内核模块选项或通过udev配置实现。重点在于调整net.netfilter.nf_conntrack_max和net.netfilter.nf_conntrack_tcp_timeout_established参数,以防止丢包和优化连接超时。
摘要由CSDN通过智能技术生成

问题描述

在一台服务器上重启iptables服务后,经过一段时间出现服务器丢包问题,看系统日志出现报错:

nf_conntrack是啥

Linux内核中有一个内核模块nf_conntrack用于做连接跟踪,当iptables添加了nat相关规则时此模块会被自动启用。

顾名思义这个模块维护了一个连接跟踪表,当iptables做网络地址转换(nat)或设置一些跟连接状态(state)相关的规则时,此模块会被自动启用。该模块生效后,需要对部分参数做优化,如:

  • net.netfilter.nf_conntrack_max: 连接跟踪表最大值,超出后会导致操作系统会丢包。默认为65535,优化至6553500

  • net.netfilter.nf_conntrack_tcp_timeout_established: 已建立连接的最大超时时间,配置过大可能会导致更容易被攻击,无效链接挂起太多,连接跟踪表更容易被打满。默认为43200秒,优化至3600秒

为什么重启iptables后会有问题?

严格来讲不是重启iptables后会有问题,而是重新加载nf_conntrack内核模块后会有问题。

系统参数仅在系统启动时加载一次,这导致内核模块被反复加载时,并不会重新生效系统内核的配置。

如何解决?

考虑如下几个方案。

方案一 修改iptables配置

iptable

最低0.47元/天 解锁文章
BUG_zhentan
关注
专栏目录
全网超详细的Linux iptables命令详解以及详解iptables-save和iptables-restore命令
念兮为美
02-21 4439
全网超详细的Linux iptables命令详解,详解iptables-save和iptables-restore命令,防火墙的备份与删除,iptables的四表——filter表(过滤规则表),nat表(地址转换规则表),mangle表(修改数据标记位规则表),raw表(跟踪数据表规则表)和五链——input,output,forward,preRouting,postRounting, iptables语法格式,ChatGPT的详细介绍等
超详细的iptables设置
04-28
目前所有的HOWTO都缺乏Linux 2.4.x 内核中的Iptables和Netfilter 函数的信息,于是作者试图回答一些问题,比如状态匹配。作者会用插图和例子 rc.firewall.txt 加以说明,此处的例子可以在你的/etc/rc.d/使用。最初这篇文章是以HOWTO文档的形式书写的,因为许多人只接受HOWTO文档。
[svc]线上Iptables重启报错
weixin_33868027的博客
10-25 182
线上iptables重启了下发现报错,排查了下 [root@xxxx ~]# /etc/init.d/iptables restart iptables: Setting chains to policy ACCEPT: filter nat [ OK ] iptables: Flushing firewall rules: [ OK ] iptables: Unloadi...
linux下防火墙参数,Linux防火墙之iptables参数
weixin_42501785的博客
05-12 357
iptables命令参数1、清理参数[root@localhost~]# /etc/init.d/iptables start启动iptables[root@localhost~]# /etc/init.d/iptables status查看iptables状态[root@localhost~]# iptables -V查看版本信息[root@localhost~]# iptables -h查看帮...
iptables 重启防火墙失败 service iptables restart
江南烟雨゛断桥殇╮的博客
10-10 5745
#sudo service iptables restart Redirecting to /bin/systemctl restart  iptables.service     systemctl restart iptables.service 防火墙重启成功
iptables参数
Mryang2333的博客
12-28 484
filter表:负责过滤功能,防火墙;内核模块:iptables_filter nat表:network address translation,网络地址转换功能;内核模块:iptable_nat mangle表:拆解报文,做出修改,并重新封装 的功能;iptable_mangle raw表:关闭nat表上启用的连接追踪机制;iptable_raw -t : 指定表,默认为filter表 -v :...
聊聊容器网络iptables
k8s 生态
12-13 622
大家好,我是张晋涛。上周有小伙伴在群里问到 Docker 和 iptables 的关系,这里来具体聊聊。Docker 能为我们提供很强大和灵活的网络能力,很大程度上要归功于与 iptables 的结合。在使用时,你可能没有太关注到 iptables 的作用,这是因为 Docker 已经帮我们自动完成了相关的配置。(MoeLove)➜~dockerd--help|grepiptable...
sysctl 默认值_Sysctl命令及linux内核参数调整
weixin_39983912的博客
12-21 950
一、Sysctl命令用来配置与显示在/proc/sys目录中的内核参数.如果想使参数长期保存,可以通过编辑/etc/sysctl.conf文件来实现。命令格式:sysctl [-n] [-e] -w variable=valuesysctl [-n] [-e] -p (default /etc/sysctl.conf)sysctl [-n] [-e] –a常用参数的意义:-w 临时改变某个指定参...
iptables指南 1.1.19
05-06
iptables的工作原理主要依赖于定义在内核中的几个表,这些表根据数据包处理的类型被细分为不同的链。 在准备使用iptables之前,用户需要首先确保能够获取iptables工具。通常,iptables可以随Linux发行版一起安装,...
内核参数整理
michaelcao1980的专栏
10-17 1559
以下内核参数未做相关优化,均使用系统默认值 net.ipv4.tcp_mem = 196608 262144  393216 net.core.wmem_max = 131071 net.core.rmem_max = 131071 net.ipv4.tcp_wmem = 4096  16384  4194304 net.ipv4.tcp_rmem = 4096 87
iptables启动时报错 iptables: No config file
自己人5的博客
03-15 468
启动iptables时报错 iptables: No config file #iptables -P OUTPUT ACCEPT *允许所有 出去的数据包通过 #service iptables save *保存iptables策略 #service iptables restart *重启iptables
linux内核参数影响网络,Linux运维知识之通过调整Linux内核参数提升网络性能
weixin_31776191的博客
04-30 241
本文主要向大家介绍了Linux运维知识之通过调整Linux内核参数提升网络性能,通过具体的内容向大家展现,希望对大家学习Linux运维知识有所帮助。如下网络配置参数调整,主要是针对请求压力大的Linux(2.6kernel)服务器而言.如果服务器压力不大,那么维持默认即可.下述内容取材于”PerformanceTuningForLinuxServer”一书.$/proc/sys/ne...
公网服务器通过修改内核参数禁止ping
因上努力,果上随缘。但行好事,莫问前程。
06-01 160
别问我为什么不用iptables,心塞中。这里不告诉你,这里我通过修改内核参数实现 vim /etc/sysctl.conf 增加 net.ipv4.icmp_echo_ignore_all=1 执行: sysctl -p 生效 然后发现已经外面ping服务器不通了 ,但是服务器ping外网可以。 ...
修改iptables内核参数报错
火云邪神的博客
02-28 515
1.报错信息 [root@controller ~]# sysctl -p net.ipv4.ip_default_ttl = 128 sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-iptables: No such file or directory sysctl: cannot stat /proc/sys/net/bridge...
重启iptables造成nf_conntrack_max变成65535解决办法
weixin_33704591的博客
05-09 634
现象: 查看 sysctl -a |grep nf_conntrack_maxnet.netfilter.nf_conntrack_max = 554288net.nf_conntrack_max = 554288 执行 service iptables restart 再次查看 sysctl -a |grep nf_conntrack_max net.netfilter.nf_conn...
LINUX服务器防火墙nf_conntrack问题一例
最新发布
有莘不破的博客
01-06 1178
iptables模块nf_conntrack引发的一则故障案例
Linux 跟踪连接netfilter 调优
大JAVA解决方案
04-16 1128
Netfilter介绍 linux内核中的netfilter是一款强大的基于状态的防火墙,具有连接跟踪(conntrack)的实现。conntrack是netfilter的核心,许多增强的功能,例如,地址转换(NAT),基于内容的业务识别(l7, layer-7 module)都是基于连接跟踪。 nf_conntrack模块在kernel 2.6.15(2006-01-0...
针对nf_conntrack 进行优化
moyuanbomo的博客
03-12 1384
关于linux中的CONNTRACK_MAX和HASHSIZE要注意的地方 如果在压力测试的时候,并发数增大,但无法完成测试,可以尝试调整下参数: vi /etc/sysctl.conf 在kernel2.6之前的添加项: net.ipv4.netfilter.ip_conntrack_max = 655360 net.ipv4.netfilter.ip_conntrack...
Linux小白入门:iptables防火墙配置与基础操作
- 基本操作:包括启动、关闭、重启iptables服务,查看状态,保存配置,以及查看和管理规则。 - 基本语法:如添加(-A)、删除(-D)、插入(-I)、替换(-R)规则,列出规则(-L),清空规则(-F),设置默认规则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值