防火墙产生丢包?

最新推荐文章于 2024-10-17 08:30:00 发布
最新推荐文章于 2024-10-17 08:30:00 发布
阅读量381 收藏 8
点赞数 3
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71188683/article/details/137693326
版权

nf_conntrack: table full, dropping packet 解决方案

一、概述

​ nf_conntrack一般存放在/proc/net目录下,当防火墙关闭时,这个目录不会出现。防火墙打开后,nf_conntrack出现在/proc/net目录下面。

查看nf_conntrack(nf_conntrack为防火墙记录用户连接的状态连接表)

cat nf_conntrack
ipv4     2 tcp      6 86 TIME_WAIT src=10.16.104.60 dst=10.0.32.107 sport=36226 dport=22 src=10.0.32.107 dst=10.16.104.60 sport=22 dport=36226 [ASSURED] mark=0 zone=0 use=2

二、解决方案

1、关闭防火墙

systemd stop iptables
systemd disable iptables

切记:在防火墙关闭状态下,不要通过iptables指令(比如 iptables -nL)来查看当前状态!因为这样会导致防火墙被启动,而且规则为空。虽然不会有任何拦截效果,但所有连接状态都会被记录,浪费资源且影响性能 并可能导致防火墙主动丢包!

2、内核参数优化
2.1、状态跟踪表

理论最大值 CONNTRACK_MAX = RAMSIZE (in bytes) / 16384 / (ARCH / 32)

以64G的操作系统为例,CONNTRACK_MAX = 6410241024*1024/16384/2 = 2097152

sysctl –w net.netfilter.nf_conntrack_max = 2097152
2.2、哈希表

哈希表大小通常为总表的1/8,最大为1/2。

CONNTRACK_BUCKETS = CONNTRACK_MAX / 8

同样以64G的操作系统,哈希最佳范围是 262144 ~ 1048576 。

运行状态中通过 sysctl net.netfilter.nf_conntrack_buckets 进行查看,通过文件 /sys/module/nf_conntrack/parameters/hashsize 进行设置。

或者新建 /etc/modprobe.d/iptables.conf ,重新加载模块才生效:

options nf_conntrack hashsize = 262144
2.3、完整参数

net.nf_conntrack_max = 1048576
net.netfilter.nf_conntrack_max = 1048576
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_established = 3600
3、使用裸表

添加“不跟踪”标识。如下示例更适合桌面系统或随意性强的服务器。因为它开启了连接的状态机制,方便和外部通信。

修改 /etc/sysconfig/iptables 文件:

#raw表
iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT
iptables -t raw -A PREROUTING -p tcp -m multiport --dport 80,81,82 -j NOTRACK
iptables -t raw -A PREROUTING -p tcp -m multiport --sport 80,81,82 -j NOTRACK
4、删除nf_conntrack模块

对所有连接都关闭跟踪,不跟踪任何连接状态。不过规则就限制比较严谨,进出都需要显式申明。

lsmod | grep nf_conntrack
modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state
modprobe -r nf_conntrack



作者:Sonic_Ma
链接:https://www.jianshu.com/p/63a66bbd2e84
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

Han_运维
关注
防火墙CPU频繁升高导致丢包案例一则
有莘不破的博客
03-26 1939
防火墙CPU升高导致丢包案例一则
高流量负载下,防火墙无法快速处理所有数据,导致延迟增加或丢包
ZOMO的博客
07-22 346
随着互联网的快速发展,网络流量的激增使得防火墙网络中发挥着越来越重要的作用。但在高流量负载下,传统的防火墙往往难以快速处理所有数据,导致延迟增加和丢包现象。本文将分析这一问题产生的原因以及AI技术在防火墙策略管理和策略分析方面的应用,为解决这个问题提供一些建议。
关于组播流量经过天融信防火墙时,概率性丢包问题
网络工程师日常的博客
11-23 496
3.在命令行下关闭同一方向的报文不在同一核是否丢弃调试设置(默认是开启的),当UDP报文被分配至不同核处理时,概率性会被丢包。问题描述:防火墙采用虚拟线模式,组播流量经过防火墙后,概率性丢包,导致组播流量异常。命令:network session not_same_cpu_drop off。在安全策略选项中,选择ALG,将SIP选项关闭,该选项会影响UDP数据。在系统管理里面,网络参数中关闭连接完整性检查。2.在ALG中关闭SIP选项。1.关闭防火墙的完整性检查。
华为设备接口Error-Down了怎么办
qq_43416206的博客
06-25 831
Error-Down机制是设备提供的一种保护机制,涉及接口、堆叠、SVF、安全等多个特性。配置上述特性的指定功能后,一旦检测到接口或者接口关联的业务存在异常,设备即关闭接口并将接口状态设为ERROR DOWN,从而防止异常进一步扩散影响到整个网络。当接口处于ERROR DOWN状态时,其指示灯状态为常灭,接口不能正常收发报文,设备上产生告警。您可以通过命令查看引起接口Error-Down的具体原因。
记录一次Linux Firewalld防火墙故障排查的案例Error:Action org.fedoraproject.FirewallD1.config.info is not registered
watermelonbig的专栏
04-26 1万+
1、故障现象在一个生产服务器上,系统为CentOS7.3,防火墙使用的是系统默认的firewalld。偶然发现,在执行以下防火墙管理命令时,报错如下:# firewall-cmd --list-allError: Action org.fedoraproject.FirewallD1.config.info is not registered虽然查看防火墙配置规则列表的命令报错了,但其它的规则配置...
网络数据错误的成因与解决方案
十年运维开发经验的王义杰在此分享自己的知识和经验
09-27 1567
数据错误通常指的是在数据从发送端到接收端的传输过程中,由于某种原因导致数据被损坏或格式不正确。
容器网络防火墙状态异常导致丢包排查记录
吉小白的博客
09-03 2080
0.导语 K8s容器网络涉及诸多内核子系统,IPVS,Iptable,3层路由,2层转发,TCP/IP协议栈,这些复杂的内核子系统在特定场景下可能会遇到设计者最初也想不到的问题。 本文分享了iptable防火墙状态异常导致丢包的排查记录,这个排查过程非常曲折,最后使用了在现在的作者看来非常落伍的工具:systemtap,才得以排查成功。其实依作者现有的经验,此问题现在仅需一条命令即可找到原因,这条命令就是作者之前分享过文章使用 ebpf 深入分析容器网络 dup 问题中提到的skbtracker。时隔7个
终端到服务器丢包,服务器丢包 ping的时候产生丢包的解决方法
weixin_39969257的博客
07-29 541
通常有以下几种原因:守望,数据,采集,网络,技术,站长,源码,小说,图片,seo,ALEXA3^ X gu K O1.由于服务器的IIS中运行了非法或者没有独立进程池的原因,找到这个站点,给他一个独立的进程池2.如果服务器上捆绑了一个主机头为空的站点的话,容易造成这个问题,最好把这个主机为空的站点给删除了,或者把这个站点的进程池给独立起来,就可以解决问题.3.由于对服务器的带宽和流量限制的太低问题...
linux查看udp丢包数量,Linux下UDP丢包问题分析思路
weixin_35990295的博客
05-15 2933
最近工作中需要为PHP服务提供存储prometheus指标数据的UDP服务器。然后就用Netty实现了一个简单地UDP服务。但是在压测的过程中发现有严重的丢包现象。下面我们就来分析一下丢包发生的原因以及解决办法1.linux 系统接收网络报文的过程接收数据是一个复杂的过程,涉及很多底层的技术细节,但大致需要以下几个步骤:网卡收到数据。将数据从网卡硬件缓存转移到服务器内存中。通知内核处理。经过...
防火墙之下一代防火墙
weixin_53946822的博客
11-27 1189
墙,始于防,忠于守。从古至今,墙予人以安全之意一、防火墙的定义。
防火墙简介
weixin_43622525的博客
12-30 2935
目录 防火墙分类 类别划分 防火墙的功能 防火墙安全策略 定义: 主要应用: 安全策略原理: 安全策略作用: 安全策略的分类: 防火墙介绍 传统防火墙过滤防火墙)----一个严格的规则表 传统防火墙(应用代理防火墙)----每个应用添加代理 传统防火墙(状态检测防火墙)----首次检查建立会话表 入侵检测系统(IDS)----网络摄像头 入侵防御系统(IPS)----抵御2-7层已知威胁 防病毒网关(AV)----基于网络侧识别病毒文件(内容防护) web应用防火墙(W
华为交换机ERROR DOWN解决办法
热门推荐
半土的博客
01-05 1万+
ERROR DOWN是华为为CE系列交换机专门做的一种保护机制,当交换机检测到端口出现异常,会将端口down掉,并标记为ERROR DOWN状态。这种状态下端口无法继续使用,因此一旦发现问题,首先应排查问题原因,若问题仍然存在,如果可能单纯的认为线路故障换插端口会造成其它端口也变成ERROR DOWN,并无法使用。这次我也是遇到,开始怀疑是光纤模块问题,所以换插了别的口,结果造成测试的端口也立刻d
前端开发攻略---8种方法实现在浏览器中跨页面通信
nibabaoo的博客
10-15 1232
浏览器实现跨标签页通信的多种方式
【JavaEE】——三次握手(详细、易理解)
最新发布
阿华的博客
10-17 709
宏观设备双方如何建立连接,微观服务器和客户端建立连接“三次握手”过程,解决不同批次连接中“后发先至”的问题,syn(同步)详解
WireShark过滤器
ngczx的博客
10-11 719
Wireshark的过滤器规则可以分为**捕获过滤器**和**显示过滤器**,这两种过滤器有不同的编写规则
Linux系统性能调优技巧详解
运维人生
10-13 607
Linux系统性能调优是一个复杂而持续的过程,需要综合考虑硬件、软件、内核参数、进程管理等多个方面。通过合理的调优措施和持续的监控调整,可以显著提升Linux系统的运行效率和稳定性,为业务提供强有力的支持。性能调优是一个持续的过程,需要不断地监控、分析和调整,以适应不断变化的工作负载和系统环境。希望本文的介绍和代码示例能够帮助您在Linux系统性能调优方面取得更好的效果。
找到占用5601端口的进程ID
m0_46695127的博客
10-13 283
找到占用5601端口的进程ID
【信息安全管理与评估】2023年全国职业院校技能大赛赛题第04套
Play_Sai的博客
10-15 963
取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。A 集团的 Ubuntu 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。这种攻击叫做( )。
华为防火墙 查看丢包命令
09-26
华为防火墙查看丢包情况通常会通过特定的命令行工具来进行,例如在CLI (Command Line Interface) 界面。对于华为USG系列防火墙,你可以使用`display ip statistics`或者`display interface statistics`命令来查看...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值