20 votes

tex avatar

Comment rendre iptables sans état ?

Demandé el 11 de Février, 2011
Quand la question a-t-elle été
17836 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'exploite un serveur Linux qui, de temps à autre, doit faire face à une forte charge et la table de conntrack déborde. Comme le jeu de règles de son pare-feu iptables est très simple, j'aimerais le passer en mode sans état. Je sais qu'iptables peut fonctionner en mode de suivi des connexions avec état et en mode sans état.

Mes règles de pare-feu sont toutes en place et je suis pratiquement sûr qu'elles sont sans état, mais ma question est la suivante : comment puis-je vérifier que le pare-feu fonctionne réellement en mode sans état ?

Demandé el 11 de Février, 2011 par tex

Réponses

Trop de publicités?

21voto

profy avatar
profy Points 1118

Vous devez spécifier certaines règles iptables pour empêcher les paquets d'être piratés :

iptables -t raw -I PREROUTING -j NOTRACK
iptables -t raw -I OUTPUT -j NOTRACK
Répondu el 11 de Février, 2011 par profy (1118 Points )

0 votes

Avatar de tex

En fait, c'est "-t raw" et non "-t RAW" mais c'était le morceau manquant. Merci !

Commenté el 12 de Février, 2011 par tex

2 votes

Avatar de cyphun

Désolé, mais cela ne répond pas à votre question puisqu'elle était "comment puis-je vérifier que le pare-feu fonctionne réellement en mode sans état" en fait.

Commenté el 12 de Février, 2011 par cyphun

0 votes

Avatar de tex

Veuillez excuser ma formulation. Mon anglais n'est pas parfait, mais c'était exactement la solution à mon problème.

Commenté el 17 de Août, 2012 par tex

6voto

Zsolt Sz. avatar
Zsolt Sz. Points 347

cat /proc/net/ip_conntrack montre le suivi de toutes les connexions.

Donc, si c'est sans état, la sortie de la commande ci-dessus devrait être vide.

(Vous pouvez également utiliser cat /proc/net/nf_conntrack )

Répondu el 7 de Mars, 2011 par Zsolt Sz. (347 Points )

5voto

jammus avatar
jammus Points 1796

Installer conntrack et regardez la sortie. Je suis presque sûr que si vous êtes apatride, aucune connexion ne sera affichée.

Répondu el 11 de Février, 2011 par jammus (1796 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X