开启防火墙iptable规则后,系统网络变慢

已于 2022-08-25 15:55:58 修改
阅读量1.3k 收藏 2
点赞数 1
分类专栏: linux 文章标签: 网络 服务器 运维
于 2022-08-03 10:13:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42272246/article/details/125682481
版权

可能原因:iptables的conntrack表满了导致访问网站很慢
现象:突然发现访问网站很慢,服务器的cpu、内存和磁盘使用率都正常 ip_conntrack和ns_conntrack含义一样,只是在新旧版本上不同
分析过程及解决方案:查询/var/log/message日志发现有这样的记录“ip_conntrack table full dropping packet”。kernel 用 ip_conntrack 模块来记录 iptables 网络包的状态,并保存到 table 里(这个 table 在内存里),如果网络状况繁忙,比如高连接,高并发连接等会导致逐步占用这个 table 可用空间,一般这个 table 很大不容易占满并且可以自己清理,table 的记录会一直呆在 table 里占用空间直到源 IP 发一个 RST 包,但是如果出现被攻击、错误的网络配置、有问题的路由/路由器、有问题的网卡等情况的时候,就会导致源 IP 发的这个 RST 包收不到,这样就积累在 table 里,越积累越多直到占满,满了以后 iptables 就会丢包,出现外部无法连接服务器的情况。

解决方案:Iptables启动的是会在日志里提示当前的buckets和conntrack_max的值以及每条跟踪连接需要消耗多少内存:
也就是说304MB内存将支持1048576条跟踪连接记录,所以需要按照服务器的内存大小来配置合适的值。
永久修改ip_conntrack_max和hashsize

  1. 增大 ip_conntrack_max(设置为 2^20,默认值是 2^16=65536)
 # vi /etc/sysctl.conf
net.ipv4.ip_conntrack_max = 1048576
  1. 增大 hashsize (在i386架构上,HASHSIZE = CONNTRACK_MAX / 8)
 # vi /etc/modprobe.conf
options ip_conntrack hashsize=131072

然后重启 iptables 服务,在 messages中可以看到参数已生效:

#service iptables restart

# cat /proc/sys/net/nf_conntrack_max     定义连接追踪的最大值,建议按需调大此值;
# cat  /proc/net/nf_conntrack                  记录了当前追踪的所有连接
# cat /proc/sys/net/netfilter/nf_conntrak_tcp_timeout_established   ESTABLISHED超时时长,默认时间比较长,建议调小此值。

nf_conntrack连接追踪的限制由/proc/sys/net/nf_conntrack_max文件控制,可以修改该文件或者/etc/sysctl.conf/etc/sysctl.conf。

# echo "65536" > /proc/sys/net/nf_conntrack_max

可能原因二:缺少dns的相关规则

# iptables -I INPUT -p udp --sport 53 -j ACCEPT
# iptables -I INPUT -p tcp --sport 53 -j ACCEPT

原因三:路由问题https://support.huawei.com/enterprise/zh/knowledge/EKB1000059526

原因四:缺少相应的udp规则,比如有NFS的话,需要打开NFS相关的udp链接,否则NFS链接会占满,导致其他链接被中断,导致访问慢

https://www.liuyixiang.com/post/83843.html
https://www.haiyun.me/archives/iptables-conntrack-max.html
https://blog.51cto.com/jasonyong/280993
https://support.huawei.com/enterprise/zh/knowledge/EKB1000059526
https://www.docin.com/p-1065250766.html
https://www.163.com/dy/article/GE1TIRTL05373KLK.html
https://www.zsythink.net/archives/1493
https://www.cnblogs.com/yxh168/p/9676745.html
https://www.dandelioncloud.cn/article/details/1430922069444997121

小 渣渣~
关注
专栏目录
图文并茂理解iptables
06-20 311
原文地址:http://www.zsythink.net/archives/1199 以下是转载内容: iptables详解:图文并茂理解iptables | 朱双印博客 这篇文章会尽量以通俗易懂的方式描述iptables的相关概念,请耐心的读完它。 防火墙相关概念 此处先描述一些相关概念。 从逻辑上讲。防火墙可以大体分为主机防火墙网络防火墙。 主机...
iptables的conntrack表满了导致访问网站很.docx
09-26
iptables的conntrack表满了导致访问网站很.docx
iptables的conntrack表满了导致访问网站很
weixin_30357231的博客
09-03 233
现象:突然发现访问网站很服务器的cpu、内存和磁盘使用率都正常 分析过程及解决方案:查询/var/log/message日志发现有这样的记录“ip_conntrack table full dropping packet”。kernel 用 ip_conntrack 模块来记录 iptables 网络包的状态,并保存到 table 里(这个 table 在内存里),如果网络状况繁忙,比...
启用iptables后,连接速度很
weixin_34416754的博客
03-05 1467
启用iptables后,连接速度很 原来不用iptables做限制.今天在一台服务器上调iptables,加上规则后,没有出状况(没有被挡在外面,还好),但是连接速度变得很.ssh上去要等10-20秒.这中情况很难接受.再想办法,再调.一不小心,输了一句iptables -F.但是我之前写过一句iptables -P INPUT DROP结果杯具了.打电话叫机房重启.机...
iptables -L -t filter 输出很
笑面虎的专栏
02-07 4386
    出现这种情况时,不妨使用iptables -n- L -t filter试一下,多加了一个-n的命令行选项。     前几天在维护貌似无法上网的Linux服务器时,发现iptables -L -t filter命令输出非常。本以为系统内的某个进程占用了较多的CPU资源,但是用top命令查看,发现CPU的使用率较低。    仔细观察,发现每次在输出带有IP地址的规则时,都会停在
nat服务器性能,iptables的性能问题:用iptables做了web服务器的NAT,速度很是何解??...
weixin_33737167的博客
08-05 851
iptables的性能问题:用iptables做了web服务器的NAT,速度很是何解??(2012-06-06 23:44:08)标签:的web服务器杂谈iptables的性能问题:用iptables做了web服务器的NAT,速度很是何解??环境:主机:redhat linux as3,运行apache,80端口ip0: 202.*.*.99ip1: 192.168.0.1内部计算机: win...
网络
GavinKai
03-09 1181
网络和磁盘IO是影响较大 的数据库又分为关系型数据库和非关系型数据库 数据库类型 数据库 介绍 关系型数据库 MYSQL 开源免费的数据库,中型的数据库.已经被Oracle收购了.MySQL6.x版本也开始收费 . Oracle 收费的大型数据库,Oracle公司的产品 . Oracle收购SUN公司,收购MYSQL . DB2 IBM公司的数据库产品,收费的 . 常应用在银行系统中. SQLServer MicroSoft 公司收费的中...
三零卫士网工面试准备
amissLin的博客
08-08 878
web
超级详细的iptables介绍
热门推荐
sdytlm的专栏
06-14 3万+
Iptables 指南 1.1.19Oskar Andreasson     oan@frozentux.netCopyright © 2001-2003 by Oskar Andreasson 本文在符合 GNU Free Documentation 许可版本1.1的条件下,可以拷贝、分发、更改,但必须保留绪言 和所有的章节,如印刷成书,封面要包括
运维面试题
weixin_42690304的博客
09-18 2万+
运维面试题 NETWORK 1 请描述TCP/IP协议中主机与主机之间通信的三要素 参考答案 IP地址(IP address) 子网掩码(subnet mask) IP路由(IP router) 2 请描述IP地址的分类及每一类的范围 参考答案 A类1-26 B类128-191 C类192-223 D类224-239组播(多播) E类240-254科研 3 请描述A、B...
6.Docker容器底层实现了解与安全机制
WeiyiGeek 唯一极客IT知识分享
10-09 500
原文地址: 点击直达 title: 5.Docker底层实现了解与安全机制 date: 2019-06-03 14:36:30 tags: Docker category: Containers OperationTools hide_excerpt: false hide_toc: false 文章目录0x00 底层实现基本架构简述I/O设备1.命名空间2.控制组子系统之Devices子系统之cpuset子系统之cpu子系统之cpuacct子系统之memory子系统之blkio(块 I/O)3.U
centos web server开启iptables后访问变慢的解决方法
qq_37449610的博客
03-07 445
# Generated by iptables-save v1.4.7 on Sun Mar 7 16:26:07 2021 *filter :INPUT DROP [194:40388] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [102713:9523290] -A INPUT -i lo -j ACCEPT #添加此规则即可解决 -A INPUT -p tcp -m multiport --dports 5005,5006,5050,10002,5002,500
高并发下iptables丢包导致网络变慢解决方法
老张的自言自语
07-04 2237
很多人估计遇到这个问题,开启iptables时,一旦网络连接并发较多,比如5000个以上,就发现网络响应变得很, 这时syslog中出现大量以下日志:   ip_conntrack: table full, dropping packet.   这是因为分配给ip_conntrack的默认的内存空间过小造成, 需要加大此值,并且这个值是无法通过/etc/sysctl.conf修改的....
linux ip转发 丢包,高并发下iptables丢包导致网络变慢解决方法
weixin_35973118的博客
05-04 1664
很多人估计遇到这个问题,开启iptables时,一旦网络连接并发较多,比如5000个以上,就发现网络响应变得很, 这时syslog中出现大量以下日志:ip_conntrack: table full, dropping packet.这是因为分配给ip_conntrack的默认的内存空间过小造成, 需要加大此值,并且这个值是无法通过/etc/sysctl.conf修改的.我被这个问题困扰了很久,...
Centos iptables防火墙添加近20W规则后引发的问题以及解决方案
JAVA拾贝
06-14 276
最近在优化服务器,防止ddos攻击,收集了网络上大量的恶意IP,添加进iptables后发现电脑卡顿严重,网络响应~排查后发现是ip_conntrack跟踪连接不够了,默认max=65536, 所以需要优化调整配置。vi /etc/sysctl.conf 修改或添加下面的代码。然后重启iptables即可。
过多规则导致处理延迟:防火墙需要遍历大量规则,导致处理速度变慢
最新发布
ZOMO的博客
02-02 839
综上所述过度的规则会对防火墙的性能产生负面影响,如减缓反应速度 增加资源耗损 提高错误的风险性 等 而优化和管理好这些问题则可以有效地保证网络环境的稳定和安全 同时还能提升用户体验和企业形象。因此,我们应该时刻关注这一问题并及时采取措施应对 确保我们的网络环境始终处于最佳状态。使用自动化管理工具多品牌异构防火墙统一管理多品牌、多型号防火墙统一管理;确保所有设备按同一标准配置,提升安全性;集中管理简化部署,减少重复操作;统一流程减少配置差异和人为疏漏;快速定位问题,提升响应速度;
Linux桥设备以及iptables的效率的一些问题
系统运维
03-03 208
一.组播和网桥 1.一般的IP服务都是和底层的网卡设备没有关系的,完全由路由来决定,但是组播除外,因为组播需要将一个网卡显式的加入到一个组播组当中,一边该接口可以接收组播包,因此IP层和链路层就联系了起来。2.使能桥接的系统上,由broute来判断数据包将此设备当成一个桥设备还是一个路由器设备,如果当成路由器设备,那么桥的概念对于此数据包将彻底消失,如果当成桥设备,那么即使本地接收的情况下,IP层...
部署防火墙业务卡顿问题排查
leeshameless的博客
07-13 644
防火墙,卡顿
iptable 规则保存
07-16
要保存 iptables 规则以便在系统重新启动后仍然有效,您可以使用以下方法之一: 1. 使用 `iptables-save` 命令: ``` iptables-save > /path/to/save/file ``` 该命令将当前的 iptables 规则保存到指定的文件中。您可以将文件保存在任意位置,只需将 `/path/to/save/file` 替换为您希望保存的文件路径。请注意,此方法保存的是当前的 iptables 规则,如果在保存之后对规则进行了更改,需要再次运行该命令。 2. 编辑规则配置文件: 在某些 Linux 发行版中,iptables 规则可以通过编辑规则配置文件来保存。具体的配置文件路径可能因发行版而异,常见的路径包括 `/etc/sysconfig/iptables` 或 `/etc/iptables/rules.v4`。您可以使用文本编辑器打开该文件,并将规则复制粘贴到其中。然后保存文件并退出。请记住,在编辑配置文件之后,您需要重新加载 iptables 规则以使更改生效。 3. 使用 iptables-persistent(某些发行版): 某些 Linux 发行版提供了一个名为 iptables-persistent 的工具包,用于在系统重新启动后自动加载保存的 iptables 规则。您可以通过以下命令安装它: ``` sudo apt-get install iptables-persistent ``` 安装完成后,您可以使用 `iptables-save` 命令将规则保存到 `/etc/iptables/rules.v4` 文件中。然后,可以使用以下命令将规则加载到 iptables 中: ``` sudo iptables-restore < /etc/iptables/rules.v4 ``` 请根据您的操作系统和个人偏好选择适合您的方法来保存 iptables 规则
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值