iptables优化

最新推荐文章于 2022-01-26 08:21:36 发布
最新推荐文章于 2022-01-26 08:21:36 发布
阅读量291 收藏 1
点赞数
文章标签: 网络
原文链接:http://www.cnblogs.com/jeffsunpan27/p/8137115.html
版权
iptables优化

iptables优化

nf_conntrack: table full, dropping packet,这是使用iptables可能会出现的一个告警信息。nf_conntrack是用来记录连接条目的,NAT和iptables中的state模块都会用到这个,如果连接表满了就会出现告警信息。
比如默认安装iptables后的自动加上INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT这个条目,-m state表示会用四种状态:NEW,ESTABLISHED,RELATED 和INVALID

NEW说明这个包是第一个包。当使用UDP、TCP等协议时,发出的第一个包的状态就是“NEW”,它会被conntrack匹配

ESTABLISHED当你在使用TCP、UDP等协议时:假设你的主机发出的第一个包成功穿越防火墙,那么接下来你的主机发出和接收到的包的状态都是“ESTABLISHED”

RELATED,当一个连接和某个已处于ESTABLISHED状态的连接有关系时,就被认为是RELATED的了。换句话说,一个连接要想 是RELATED的,首先要有一个ESTABLISHED的连接。这个ESTABLISHED连接再产生一个主连接之外的连接,这个新的连接就是RELATED。

INVALID说明数据包不能被识别属于哪个连接或没有任何状态,这种包应该被丢弃。

在连接数不大的时候nf_conntrack表不大,使用 state模块或者NAT功能(虽然没有相关条目)没有问题,但是在大流量的生产环境中不要使用这个模块,这会造成系统的负载上升,出现上面的告警信息。需要在生产环境中做优化。

1、 关闭ipv6的iptables

chkconfig ip6tables off

service ip6tables stop

2、 在Iptables中使用标志位来识别ESTABLISHED链接,并删除所有state状态,配置NAT的条目

iptables -I INPUT -p tcp -m tcp -m multiport --dports 80,443,15533 -j ACCEPT

iptables -I INPUT -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT

iptables -D INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

3、 移除内核nf_conntrack相关模块,禁用NAT功能,如果删除不了是因为在别的地方被调用了

lsmod

rmmod nf_conntrack_ipv4

rmmod nf_conntrack_ipv6

rmmod nf_nat

rmmod nf_conntrack_ipv4

rmmod xt_state

rmmod nf_conntrac

rmmod iptable_nat

posted on 2017-12-28 18:12 JeffSunpan27 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/jeffsunpan27/p/8137115.html

weixin_30325793
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
KubeCon 2021|使用 eBPF 代替 iptables 优化服务网格数据面性能
吉小白的博客
12-16 1969
作者 刘旭,腾讯云高级工程师,专注容器云原生领域,有多年大规模 Kubernetes 集群管理及微服务治理经验,现负责腾讯云服务网格 TCM 数据面产品架构设计和研发工作。 引言 目前以 Istio[1] 为代表的服务网格普遍使用 Sidecar 架构,并使用 iptables 将流量劫持到 Sidecar 代理,优点是对应用程序无侵入,但是 Sidecar 代理会增加请求时延和资源占用。 性能一直是用户十分关心的一个点,也是用户评估是否使用服务网格产品的关键因素,腾讯云 TCM 团队一直致力于优化服务网格
Linux Ubuntu系统iptables防火墙配置
11-11
1. 编写目的 配置iptables防火墙的主要目的是保护服务器安全,防止未经授权的访问和恶意攻击,以及避免不必要的服务暴露,提高系统的稳定性和安全性...在实际操作中,应根据服务器的具体配置和服务需求调整和优化规则。
优化iptables
weixin_34186950的博客
08-18 92
永久关闭iptables:1.先查看iptables状态/etc/init.d/iptable sstatus2.临时关闭iptables/etc/init.d/iptables stop3.查看iptables的开机自启动状态chkconfig |grep iptables4.取消iptables的开机自启动chkconfig iptables offchkconfig--...
linux iptables常用命令之配置生产环境iptables优化
weixin_34410662的博客
09-28 122
  在了解iptables的详细原理之前,我们先来看下如何使用iptables,以终为始,有可能会让你对iptables了解更深 所以接下来我们以配置一个生产环境下的iptables为例来讲讲它的常用命令   第一步:清空当前的所有规则和计数 iptables -F #清空所有的防火墙规则 iptables -X #删除用户自定义的空链 iptables -Z #清空计数 ...
iptables规则优化实践
一直在努力学习的菜鸟
01-26 1016
iptables规则优化实践: (1)安全放行所有入站和出站的状态为ESTABLISHED状态连接,建议放在第一条,效率更高 (2)谨慎放行入站的新请求 (3)有特殊目的限制访问功能,要在放行规则之前加以拒绝 (4)同类规则(访问同一应用,比如:http ),匹配范围小的放在前面,用于特殊处理 (5)不同类的规则(访问不同应用,一个是http,另一个是mysql ),匹配范围大的放在前面,效率更高 -s 10.0.0.6 -p tcp --dport 3306 -j REJECT -s 172.16.0
iptables 规则优化
weixin_34138377的博客
04-02 185
iptables [-t 表] -命令 匹配 操作说明(1) -t 表表选项用于指定命令应用于哪个iptables内置表。(2)命令命令选项用于指定iptables的执行方式,包括插入规则,删除规则和添加规则,如下表所示命令 说明 -P --policy 链名> 定义...
linux系统优化重点简单总结
07-09
Linux 系统优化需要从多个方面入手,包括关闭 SELinux、修改系统的运行级别、添加普通用户和sudo提权管理、SSHD 基本安全配置、使用时间同步命令、配置 YUM 更新源、关闭 iptables 或者配置适当的防火墙规则、调整...
dot-iptables
05-10
此外,dot-iptables的一个亮点是,链名称是可点击的,点击后能够进一步展示该链内的具体规则,这对于排查问题或优化配置提供了极大的便利。 实现这个功能的关键在于Python的强大库支持。Python的标准库中,`sys`...
iptables权威指南
03-22
2.1.哪里能取得iptables............................................................................................................................................8 2.2.内核配置...........................
Iptables 指南 1.1.19
12-30
7.2.4. 规则位置的优化 7.2.5. 缺省策略的设置 7.2.6. 自定义链的设置 7.2.7. INPUT链 7.2.8. FORWARD链 7.2.9. OUTPUT链 7.2.10. PREROUTING链 7.2.11. POSTROUTING链 8. 例子简介 8.1. rc.firewall.txt脚本的结构...
linux中的防火墙管理以及优化iptables
weixin_45205924的博客
08-12 238
linux中的防火墙管理以及优化iptables一、防火墙介绍二、firewalld 与 iptables的切换三、iptables的默认策略四、IPtables的使用方式 一、防火墙介绍 系统的安全管理一般有两种服务:firewalld.service 和 iptables 两种服务是在一个系统中不可以同时启用的 二、firewalld 与 iptables的切换 iptables与firewalld的切换,其实就是在关闭系统默认使用的firewalld服务后,对iptables服务,安装并且启用。 1
iptables高性能前端优化-无压力配置1w+条规则
热门推荐
Netfilter
08-27 3万+
产生本文的故事这显然是个周末,这是一个下雨的周末,这是一个台风登陆的周末…  上周,有一个很猛的台风“天鸽”,当天红警晚发了两个小时,当发布红警时,几乎所有人都到了公司,当然,除了那些怕西装和皮鞋被雨淋湿的经理。我本来是想特别感谢一下这个台风的,然而它已经造成了重大的人员伤亡,无论如何,我都不能再对它多说一句褒义的话,我是一个喜欢风雨的人,仅诠释我个人。  在台风“天鸽”将至的那晚,我把一个在暴热和
【linux进阶9】linux中的iptables火墙优化策略
weixin_48819467的博客
06-04 469
linux中的iptables火墙优化策略 实验环境 单网卡 单网卡的网关设定为双网卡的14网段,便于获取数据 双网卡 双网卡中有个和单网卡处于172.25.14段的ip 一、基本命令 -o |指定输出网络设备 二、火墙的切换 firewalld----->iptables dnf install iptables-services.x86_64 --allowerasing systemctl disable firewalld.service systemctl mask firewalld
IPTABLES常用命令之配置生产环境IPTABLES优化
weixin_34220623的博客
08-11 126
第一步:清空当前的所有规则和计数iptables-F#清空所有的防火墙规则 iptables-X#删除用户自定义的空链 iptables-Z#清空计数第二步:配置允许ssh端口连接iptables-AINPUT-s192.168.1.0/24-ptcp--dport22-jACCEPT#22为你的ssh端口,...
基于linux的web服务器的iptables防火墙安全优化设置
weixin_34162228的博客
05-23 113
安全规划:开启 80 22 端口并 打开回路(回环地址 127.0.0.1) #iptables –P INPUT ACCEPT #iptables –P OUTPUT ACCEPT #iptables –P FORWARD ACCEPT 以上几步操作是为了在清除所有规则之前,通过所有请求,如果远程操作的话,防...
Linux中的火墙策略优化(iptables,firewalld)
qq_37801888的博客
05-17 157
火墙策略优化一、火墙介绍二、火墙管理工具切换三、iptables 的使用四、火墙策略1.默认策略中的5条链2.默认的3张表3.iptables命令五.nat表中的dnat snat1.SNAT2.DNAT:六.firewalld1. firewalld的开启2.firewalld的参数管理3.firewalld的高级规则4.firewalld中的NAT 一、火墙介绍 1.netfilter 2.iptables 3.iptables | firewalld 二、火墙管理工具切换 在rhel8中默认使用的是f
Linux学习笔记-RH135之火墙iptables策略优化
qq_40764171的博客
06-02 128
火墙策略优化1、火墙的介绍2、火墙管理工具切换 1、火墙的介绍 (1)netfilter是数据包过滤器,用来控制一些端口的开放。 (2)iptables是表格,里面写了数据包过滤的策略,可以管理netfilter。 (3)iptables或firewalld都可以更改iptables这个表格里的策略。 2、火墙管理工具切换 做这里的实验需要两块网卡,所以我们添加一块网卡给虚拟机。 ifconfig查看有ens3和ens10。配置一个ip是172.25.254.99 ,另一个是1.1.1.99。设置成功。
iptables学习笔记:端口转发命令优化
李迟的专栏
09-24 2833
大约一年前,在一个x86板子系统上实现端口转发。现在又出现问题,于是抽空整理整理。虽说是另一同事在另一项目中遇到的,但中秋节前我出差之前老大叫我帮忙协助该同事排查,出差时该同事又call我,出差后老大又叫我继续协助,所以是我的锅,最终还是逃不掉的。这也使得自己对自己做(过)的事不敢懈怠,天知哪一天又回到自己手中。
iptables常用命令之配置生产环境iptables优化
weixin_30755709的博客
04-07 76
第一步:清空当前的所有规则和计数 iptables -F #清空所有的防火墙规则 iptables -X #删除用户自定义的空链 iptables -Z #清空计数 第二步:配置允许ssh端口连接 iptables -A INPUT -s 192.168.1.0/24 -p tcp --dport 22 -j ACCEPT #22为你的ssh端口, -s ...
iptables/tc
最新发布
08-10
iptables和tc是Linux系统中用于网络配置和流量控制的工具。 iptables是一种防火墙工具,用于管理和过滤网络数据包。它可以根据不同的规则和条件来决定如何处理传入和传出的数据包。通过配置iptables规则,可以限制特定IP地址或端口的访问,实现网络安全策略。 tc (Traffic Control)是Linux系统中用于流量控制和网络带宽管理的工具。它可以用来限制特定网络接口上的带宽使用,优化网络流量分发,实现流量整形、排队和调度等功能。通过使用tc命令,可以设置带宽限制、队列管理、延迟和丢包等参数,以实现网络流量的控制和管理。 这些工具在Linux系统中被广泛使用,用于网络安全和性能优化方面的配置和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值