标签:iptables 坑
1:第一坑:众所周知nf_conntrack,下面会有介绍补坑方法。
2:连环坑:
要解决第一个坑,需要修改内核参数,如:
net.netfilter.nf_conntrack_tcp_timeout_established = 600
net.netfilter.nf_conntrack_max = 1048576
net.nf_conntrack_max = 1048576
这几个参数是基于nf_conntrack模块的,如果nf_conntrack在系统中没有被加载,则上面三个选项就恢复成默认值。
/etc/init.d/iptables stop这个命令会将nf_conntrack模块移除,运行stop命令后使用sysctl -a 你会发现nf_conntrack的三个选项恢复成了默认值。
然后你再一次启动/etc/init.d/iptables start ,而此时nf_conntrack还是保持默认值。系统大量报错。。。介,介,介,你踩到iptables精心设计的“连环坑”。
修改:
NF_MODULES_COMMON=(x_tables nf_nat nf_conntrack) # Used by netfilter v4 and v6
为
NF_MODULES_COMMON=(x_tables nf_nat) # Used by netfilter v4 and v6
即可。
对于“连环坑”,遇到是有条件的:
即是:系统中不存在ipv6包
因为nf_conntrack_ipv6 是依赖nf_conntrack的,这样iptables脚本使用modprobe -r nf_conntrack 卸载不掉该模块,就不会恢复nf_conntrack默认值
本文出自 “linux系统维护” 博客,请务必保留此出处http://linuxadmin.blog.51cto.com/2683824/1742720
标签:iptables 坑
原文地址:http://linuxadmin.blog.51cto.com/2683824/1742720
