Linux关闭nf_conntrack模块

最新推荐文章于 2024-06-19 15:05:05 发布
最新推荐文章于 2024-06-19 15:05:05 发布
阅读量5.8k 收藏 2
点赞数
分类专栏: Linux 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/change_can/article/details/108325089
版权
【问题描述】

服务器负载正常,但服务器内存飙升影响了中间件的使用,查看/var/log/messages 日志存在大量
kernel: nf_conntrack: table full, dropping packet

【说明】

nf_conntrack 模块在 kernel 2.6.15(2006-01-03 发布) 被引入,工作在 3 层,支持 IPv4 和 IPv6,取代只支持 IPv4 的 ip_connktrack,用于跟踪连接的状态,供其他模块使用,它会使用一个哈希表来记录 established 的记录。需要 NAT 的服务都会用到它,例如防火墙、Docker 等。
开启nf_conntrack模块会导致不需要的CPU消耗,甚至可能导致table记录满产生丢包问题,因此可以考虑关闭nf_conntrack模块提升性能。

【解决方法】

1、不使用 nf_conntrack 模块【我用的这种方法,简单粗暴】

#直接关闭iptables、ip6tables、firewalld等相关服务,并关闭开机自启动
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config  #关闭SELinux
setenforce 0

systemctl stop firewalld  # CentOS 7
service iptables stop     # CentOS 6/7
service ip6tables stop    # CentOS 6/7
chkconfig --level 345 ip6tables off
chkconfig --level 345 iptables off
chkconfig | grep tables # 确定全部关闭

#查看nf_conntrack模块使用情况
lsmod |grep nf_conntrack  

#移除nf_conntrack模块
sudo rmmod iptable_nat
sudo rmmod ip6table_nat
sudo rmmod nf_defrag_ipv4
sudo rmmod nf_defrag_ipv6
sudo rmmod nf_nat
sudo rmmod nf_nat_ipv4
sudo rmmod nf_nat_ipv6
sudo rmmod nf_conntrack
sudo rmmod nf_conntrack_ipv4
sudo rmmod nf_conntrack_ipv6
sudo rmmod xt_conntrack
# 需要开启模块就使用sudo modprobe

rmmod命令说明

rmmod [-as] module_name

-a  删除所有目前不需要的模块。
-s  把信息输出至syslog常驻服务,而非终端机界面。

modprobe命令说明

modprobe [-lcfr] module_name

-c :列出目前系统所有的模块
-l :列出目前在/lib/modules/`uname -r`/kernel当中的所有模块完整文件名
-f:强制加载该模块
-r:类似rmmod 就是删除某个模块
#未使用(Used by栏为0)的模块才能禁用
#如果Used by不为0,先禁用后面列出的模块
#如果后面没模块名,就是被进程使用。
#没有简单的方法能查到调用这些模块的都是什么进程,基本靠猜

2、使用防火墙要移除state模块,因为使用该模块需要加载 nf_conntrack。确保 iptables 规则中没有出现类似 state 模块的规则,如果有的话将其移除:

-A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

注释 /etc/sysconfig/iptables-config 中的:

IPTABLES_MODULES="ip_conntrack_netbios_ns"

移除 nf_conntrack 模块:

$ sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state
$ sudo modprobe -r nf_conntrack

$ # 现在 /proc/net/ 下面应该没有 nf_conntrack 了

3、使用 raw 表,不跟踪连接
iptables 中的 raw 表跟包的跟踪有关,基本就是用来干一件事,通过 NOTRACK 给不需要被连接跟踪的包打标记,也就是说,如果一个连接遇到了 -j NOTRACK,conntrack 就不会跟踪该连接,raw 的优先级大于 mangle, nat, filter,包含 PREROUTING 和 OUTPUT 链。
当执行 -t raw 时,系统会自动加载 iptable_raw 模块(需要该模块存在)。raw 在 2.4 以及 2.6 早期的内核中不存在,除非打了 patch,目前的系统应该都有支持:

$ sudo iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT
$ sudo iptables -t raw -A PREROUTING -p tcp -m multiport --dport 80,8080 -j NOTRACK
$ sudo iptables -t raw -A PREROUTING -p tcp -m multiport --sport 80,8080 -j NOTRACK
change-can
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nf_conntrack_reasm.rar_网络_Unix_Linux_
08-11
Linux Network driver: IPv6 fragment reassembly for connection tracking.
nf_conntrack_broadcast.rar_Linux/Unix编程_Unix_Linux_
08-11
broadcast connection tracking helper for linux network.
nf_conntrack: table full, dropping packet
Be_Nice的博客
05-14 4327
“连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ): 一、关闭防火墙。 简单粗暴,直接有效 chkconfig iptables off chkconfig ip6tables off service iptables stop service ip6tables stop
Iptables之nf_conntrack模块
u011029104的专栏
02-18 602
表示分组对应的连接已经进行了双向的分组传输,也就是说连接已经建立,而且会继续匹配 这个连接的包。通过系统初始化脚本创建配置文件”/etc/modprobe.d/nf_conntrack.conf”, 内容为“options nf_conntrack hashsize=262144”,通过nf_conntrack模块挂接参数”hashsize”自动设置“net.nf_conntrack_max=2097152”(nf_conntrack_max=hashsize*8),保证后续新初始化服务器配置正确。
LINUX内核权限提升漏洞(CVE-2024-1086)通告
最新发布
冰恋云的专栏
06-19 1083
近日,绿盟科技CERT监测网上有研究员公开披露了一个Linux内核权限提升漏洞(CVE-2024-1086)的细节信息与验证工具,由于Linux内核的netfilter:nf_tables组件存在释放后重利用漏洞, nft_verdict_init() 函数允许在钩子判定中使用正值作为丢弃错误,当 NF_DROP 发出类似于 NF_ACCEPT 的丢弃错误时,nf_hook_slow() 函数会导致双重释放漏洞,本地攻击者利用此漏洞可将普通用户权限提升至 root 权限。
Linux内核禁止修改ip,ip_conntrack_max 参数的修改方法及 卸载linux内核的 ip_conntrack 模块...
weixin_39621774的博客
04-30 207
一、概念-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )-存储跟踪连接条目列表的哈西表的大小:HASHSIZE-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。图表形象解释:例如,系统默认配置下,启动 iptables 时的信息如下:...
linux禁止修 5在线阅读,linux – 如何在不重新编译内核的情况下禁用CentOS 5.3中的nf_conntrack内核模块...
weixin_35879989的博客
05-16 470
我正在运行CentOS 5.3,并希望禁用nf_conntrack模块以提高haproxy的网络性能.我正在使用一些简单的规则运行iptables.我真的不需要连接跟踪.我在Rackspace云服务器上运行,所以我无法运行自定义内核.我试过运行modprobe,但这不起作用.[mmarano@w1 w1]$sudo modprobe -n -r nf_conntrackFATAL: Module ...
nginx机器conntrack规避问题
wyl9527的博客
11-02 739
## 临时解决 经测试, `iptables -t nat -nvL` 命令会自动加载如下模块 ```bash iptable_nat nf_nat_ipv4 nf_conntrack_ipv4 nf_defrag_ipv4 nf_nat nf_conntrack ``` 模块间有依赖,卸载模块的顺序与方法如下 ```bash rmmod iptable_nat nf_nat_ipv4 nf_conntrack_ipv4 nf_defrag_ipv4 nf_nat nf_co...
max卸载linux,ip_conntrack_max 参数的修改方法及 卸载linux内核的 ip_conntrack 模块
weixin_33121737的博客
05-10 203
一、概念-允许的最大跟踪连接条目:CONNTRACK_MAX(默认值是 2^16=65536 )-存储跟踪连接条目列表的哈西表的大小:HASHSIZE-每个哈西表的条目(叫一个bucket),包含了一个链接起来的跟踪连接条目-哈希表大小HASHSIZE,表现为 条目bucket的多少,在iptables启动时在日志中会显示。图表形象解释: 例如,系统默认配置下,启动 iptables 时的信息如下...
nf_conntrack_ipv4.rar_Windows编程_Unix_Linux_
08-11
IPv4 support for nf_conntrack.
nf_conntrack_tuple_common.rar_The Common
09-20
NF ConntrackLinux内核的一个核心组件,它负责跟踪网络连接的状态,如TCP、UDP和其他协议的连接。"Common"一词意味着这部分代码或数据结构适用于多种协议,不局限于特定的协议层。 描述中提到的"protocol-...
nf_conntrack_ecache.rar_通讯编程_Unix_Linux_
08-11
Event cache for netfilter.
nf_conntrack限制导致服务器连接失败
weixin_34088583的博客
10-17 246
发现客户端在连接java服务时出现失败的情况,查看系统日志发现大量kernel: nf_conntrack: table full, dropping packet.kernel: nf_conntrack: table full, dropping packet.kernel: nf_conntrack: table full, dropping packet.从日志可以看...
nf_conntrack连接跟踪模块
热门推荐
顽石的专栏
10-20 4万+
nf_conntrack连接跟踪模块 在iptables里,包是和被跟踪连接的四种不同状态有关的。它们分别是NEW,ESTABLISHED,RELATED和INVALID。后面我们会深入地讨论每一个状态。使用iptables的state模块可以匹配操作这几种状态,我们能很容易地控制“谁或什么能发起新的会话”。为什么需要这种状态跟踪机制呢?比如你的80端口开启,而你的程序被植入反弹式木马,导致
nf_conntrack模块开机不自动加载
神棍之路
11-17 869
你当然可以通过手动modprobe的方式来加载模块,或者在/etc/modules中配置上开机加载的模块,但这也只是解决了表像问题,深入的问题还是可能导致你后续的使用中遇到阻碍。iptables的配置是很重要的一个根源,需要添加以下规则重启iptables,会是nf_conntrack模块自动加载,并且为你之后的iptables连接限制铺平道路。同样说明nf_conntrack模块没有被加载,导致sysctl参数不能正确配置。发现没有加载nf_conntrack模块的情况。查看系统日志发现如下信息。
linux 网络错误 nf_conntrack: table full, dropping packet. 路由跟踪表满
whatday的专栏
02-18 965
“连接跟踪表已满,开始丢包”!相信不少用iptables的同学都会见过这个错误信息吧,这个问题曾经也困扰过我好长一段时间。此问题的解决办法有四种(nf_conntrack 在CentOS 5 / kernel <= 2.6.19中名为 ip_conntrack ): 一、关闭防火墙。 简单粗暴,直接有效 chkconfig iptables off chkconfig ip6tab...
踩坑总结] nf_conntrack: table full, dropping packet
yangzhenzhen的专栏
11-07 5854
  转载:https://testerhome.com/topics/7509 netfilter/conntrack 相关内核参数往往是用 Linux 服务器的互联网小公司业务量上去之后遇到的第 3 个“新手怪”。(第 1 位:进程可用的 FD 不足,第 2 位:IP 临时端口不足 + TIME_WAIT 状态的连接过多导致无法建立新连接) 很多人以为 Linux 经过这么多年优化,默认参...
Linux关闭和开启IPv6的方法
weixin_33895516的博客
07-13 760
确认IPV6是否开启在Linux下确认IPv6是否已经被启用,可以从三个方面确定。1.使用ifconfig查看自己的IP地址是否含有IPv6地址。eth0Linkencap:EthernetHWaddr00:13:D4:05:B2:ED inetaddr:119.119.xxx.xxBcast:119.119.115.255Mask:255.255.255.0...
kubernetes的master节点由于nat表、nf_conntrack 问题造成dockers启动不了处理
rendongxingzhe的博客
12-24 2372
dockers启动Perhaps iptables or your kernel needs to be upgraded
struct nf_conn { /* Usage count in here is 1 for hash table, 1 per skb, * plus 1 for any connection(s) we are `master' for * * Hint, SKB address this struct and refcnt via skb->_nfct and * helpers nf_conntrack_get() and nf_conntrack_put(). * Helper nf_ct_put() equals nf_conntrack_put() by dec refcnt, * beware nf_ct_get() is different and don't inc refcnt. */ struct nf_conntrack ct_general; spinlock_t lock; u16 cpu; #ifdef CONFIG_NF_CONNTRACK_ZONES struct nf_conntrack_zone zone; #endif /* XXX should I move this to the tail ? - Y.K */ /* These are my tuples; original and reply */ struct nf_conntrack_tuple_hash tuplehash[IP_CT_DIR_MAX]; /* Have we seen traffic both ways yet? (bitset) */ unsigned long status; /* jiffies32 when this ct is considered dead */ u32 timeout; possible_net_t ct_net; #if IS_ENABLED(CONFIG_NF_NAT) struct hlist_node nat_bysource; #endif /* all members below initialized via memset */ struct { } __nfct_init_offset; /* If we were expected by an expectation, this will be it */ struct nf_conn *master; #if defined(CONFIG_NF_CONNTRACK_MARK) u_int32_t mark; #endif #ifdef CONFIG_NF_CONNTRACK_SECMARK u_int32_t secmark; #endif /* Extensions */ struct nf_ct_ext *ext; /* Storage reserved for other modules, must be the last member */ union nf_conntrack_proto proto; }; struct nf_conntrack { atomic_t use; };typedef struct atomic { volatile int counter; } atomic_t;
07-15
这段代码定义了两个结构体,分别是 nf_conn 和 nf_conntracknf_conn 结构体包含了以下成员: - ct_general:一个 nf_conntrack 结构体,用于跟踪连接的一般信息。 - lock:自旋锁,用于保护对 nf_conn 结构体的并发访问。 - cpu:一个 16 位的无符号整数,表示该连接所在的 CPU 编号。 - zone:一个 nf_conntrack_zone 结构体,在 CONFIG_NF_CONNTRACK_ZONES 宏开启时有效。 - tuplehash:一个包含了 IP_CT_DIR_MAX 个元素的 nf_conntrack_tuple_hash 数组,用于存储连接的原始和回复的元组信息。 - status:一个无符号长整型数,用于表示连接的状态。 - timeout:一个 32 位的无符号整数,表示连接被认为已经死亡的时间戳(以 jiffies32 表示)。 - ct_net:一个 possible_net_t 类型的变量,表示连接所属的网络命名空间。 - nat_bysource:一个 hlist_node 结构体,在 CONFIG_NF_NAT 宏开启时有效。 - __nfct_init_offset:一个空结构体,用于初始化其他成员。 - master:一个指向 nf_conn 结构体的指针,表示该连接的期望连接(expectation)。 - mark:一个 32 位的无符号整数,在 CONFIG_NF_CONNTRACK_MARK 宏开启时有效。 - secmark:一个 32 位的无符号整数,用于安全标记,在 CONFIG_NF_CONNTRACK_SECMARK 宏开启时有效。 - ext:一个指向 nf_ct_ext 结构体的指针,表示连接的扩展信息。 - proto:一个联合体,用于存储其他模块保留的数据。 nf_conntrack 结构体包含了一个名为 use 的 atomic_t 类型成员,用于记录 nf_conntrack 结构体的使用计数。atomic_t 是一个原子类型,用于实现原子操作的计数器。 需要注意的是,这段代码只是结构体的定义,没有展示结构体成员的具体实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值