码迷,mamicode.com
首页 > 其他好文 > 详细

iptables踩坑记

时间:2016-02-17 19:25:36      阅读:277      评论:0      收藏:0      [点我收藏+]

标签:iptables 坑

1:第一坑:众所周知nf_conntrack,下面会有介绍补坑方法。

2:连环坑:

要解决第一个坑,需要修改内核参数,如:

net.netfilter.nf_conntrack_tcp_timeout_established = 600    

net.netfilter.nf_conntrack_max = 1048576

net.nf_conntrack_max = 1048576


这几个参数是基于nf_conntrack模块的,如果nf_conntrack在系统中没有被加载,则上面三个选项就恢复成默认值。

/etc/init.d/iptables stop这个命令会将nf_conntrack模块移除,运行stop命令后使用sysctl -a 你会发现nf_conntrack的三个选项恢复成了默认值。

然后你再一次启动/etc/init.d/iptables start ,而此时nf_conntrack还是保持默认值。系统大量报错。。。介,介,介,你踩到iptables精心设计的“连环坑”。


修改:

NF_MODULES_COMMON=(x_tables nf_nat nf_conntrack) # Used by netfilter v4 and v6

NF_MODULES_COMMON=(x_tables nf_nat) # Used by netfilter v4 and v6

即可。


对于“连环坑”,遇到是有条件的:

即是:系统中不存在ipv6包

因为nf_conntrack_ipv6 是依赖nf_conntrack的,这样iptables脚本使用modprobe -r nf_conntrack 卸载不掉该模块,就不会恢复nf_conntrack默认值


本文出自 “linux系统维护” 博客,请务必保留此出处http://linuxadmin.blog.51cto.com/2683824/1742720

iptables踩坑记

标签:iptables 坑

原文地址:http://linuxadmin.blog.51cto.com/2683824/1742720

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!