두 경우 모두에 대한 INVALID 대 ESTABLISHED, RELATED 검사가 동일하게 빠른지(그리고 상태가 완전히 직교하는 경우) ESTABLISHED를 수락하기 전에 INVALID를 삭제해야 하는지, 아니면 ESTABLISHED를 안전하게 수락할 수 있는지 확실하지 않습니다. 잘못된 것을 삭제하시겠습니까? ...
연결 추적의 경우 다음 명령이 스트림 항목을 생성하지 않는 경우가 있습니다. 플로우 테이블 항목 생성이 간헐적으로 발생하는 이유를 알고 계십니까? conntrack -I -n -p udp -s 10.15.109.12 -d 239.10.200.1 --src-nat 10.15.109.60 --dst-nat 239.10.200.1 --sport 60003 --dport 7000 --reply-dst 10.15.109.60 --reply-port-src 7000 --reply-port-dst 60003 ...
로드 밸런싱을 위해 DNAT가 필요하고 SYN 플러딩을 완화하기 위해 SYNPROXY가 필요한 애플리케이션이 있습니다. SYNPROXY가 없으면 원형 DNAT를 PREROUTING 후크의 NAT 체인에 넣을 것입니다. 그러나 SYNPROXY를 추가하면 다운스트림 서버와의 초기 가장 통신이 OUTPUT 경로를 통해 발생하기 때문에(올바르게 이해한 경우) 이 문제가 복잡해 보입니다. 내가 읽은 제안에 따르면 DNAT는 NAT 체인의 OUTPUT 후크로 이동해야 하지만 이상해 보입니다. 첫 번째 SYN, ...
conntrack 관련 도구를 테스트하려고 합니다. 테스트는 네트워크 액세스가 없는 단일 가상 머신에서 실행되었습니다. 테스트할 수 있도록 conntrack 세션을 만드는 가장 쉬운 방법은 무엇입니까? ...
나는 이것을 만났다환매 계약그리고 그 단계를 이해하려고 노력하세요. 나는 이것이 Netfilter conntrack 이벤트를 활성화하기 위한 것이라고 생각하지만 확실하지 않습니다. 이러한 메시지를 받으려면 무엇을 실행해야 합니까? -------------------------------------------------------- 2. The minimum requirements for the kernel configuration ---------------------------------------...
트래픽(연결 빈도)이 높은 오버레이 네트워크에서 서로 통신하는 두 컨테이너는 때때로 거의 정확히 1초의 배수로 연결 지연을 경험합니다. 두 컨테이너가 동일한 호스트에서 실행되는지 아니면 두 개의 물리적 시스템 간에 실행되는지는 중요하지 않습니다. Ping에는 전혀 지연이 없으며 TCP 연결만 영향을 받습니다. 이는 DNS 문제가 아닙니다. 다른 컨테이너의 IP 주소를 사용하여 연결을 테스트하세요. 나는 다음을 기반으로 일부 커널 매개 변수 설정을 시도했습니다.https://github.com/mo...
안녕하세요, 존경하는 커뮤니티 여러분, 강력한 iptables 방화벽을 nftables로 이식하는 데 문제가 있습니다. 콘텐츠의 입력/출력/전달(주로 conntrack 태그)에는 문제가 없습니다. 현재 제가 하는 일은 다음과 같습니다. ip1/ 이 명령을 사용하여 규칙 및 conntrack 태그와 함께 세 개의 라우팅 테이블을 만듭니다 . 각각에는 FDDI, VPN 또는 4G 연결인 기본 경로가 있습니다. ip route add table maincnx default dev $WAN via 192.1...
iptables로 나가는 패킷을 표시하고 응답을 통해 식별할 수 있습니까? 매우 간단한 나가는 규칙이 있습니다. iptables -A OUTPUT -m conntrack --ctstate NEW,ESTABLISHED,RELATED --m owner --uid-owner XXX -j ACCEPT 이 규칙의 응답을 수락하는 한 가지 방법은 ESTABLISHED, RELATED 상태로 들어오는 모든 패킷을 수락하는 것입니다. iptables -A INPUT -m conntrack --ctstate ...
프로세스 시간이 초과되기 전에 프로세스에서 열린 TCP 연결을 "정상적으로" 닫을 수 있는 명령이 있습니까? CLOSE_WAIT/TIME_WAIT 상태의 모든 TCP 연결을 정상적으로 종료하고 싶습니다.넷필터 연결 추적 테이블시간 초과에 도달하기 전에. 내가 말하는 우아함이란 바로 나다.폐쇄프로그램의 소켓입니다. ...
따라서협회conntrack은 연결이 종료된 후 X초를 기억하는 것 같습니다. X의 길이와 구성 가능 여부를 아는 사람이 있습니까? ...
conntrack 모듈의 몇 가지 기본 개념을 이해하지 못합니다. modinfo먼저 내 시스템(Ubuntu 18.04)에서 활성화되어 있는지, nf_conntrack에 대한 정보가 표시되는지, /proc/modulesnf_conntrack에 표시된 파일이 "live"인지 확인했습니다 . 둘째, 다음과 같은 테스트 설정이 있습니다. 머신 A(192.168.1.2) <------> 라우터 머신(192.168.1.1 & 192.168.2.1) <----> 머신 B(192....
나는 이것이 iptables --set-mark패킷에 태그를 추가하지 않는다는 것을 이해합니다. MARK목표는 태그를 커널 데이터 구조의 패킷과 연결하는 것입니다. 패킷 자체는 수정되지 않습니다. 하지만 연관된 태그가 있는 패킷을 볼 수 있는 방법이 있습니까? ctmark(target에 의해 설정된 연결 태그를 사용하여 CONNMARK) 이를 볼 수 있습니다 /proc/net/nf_conntrack. nfmark(패킷 표시)를 보는 것과 비슷한 것을 찾고 있습니다 . 우리는 그것을 이렇게 볼 수 ...
저는 IPv6의 멀티캐스트 기능을 연구하고 있습니다. $ ping ff02::2%wlp3s0 이로 인해 일반적으로 로컬 네트워크 세그먼트의 모든 라우터가 에코 응답(위키피디아-IPv6). 제 경우에는 홈 라우터입니다. 그러나 원래 nftables 규칙이 반향 응답을 차단하고 있음을 발견했습니다. 원시 nftables 규칙으로 인해 에코 응답이 방지됩니다. table inet filter { chain input { type filter hook input priorit...
Asterisk를 실행하는 상자에서 nf_conntrack_sip을 사용하려고 합니다. 즉, 트래픽을 다른 VoIP 상자로 라우팅하지 않습니다. 설치 프로그램은 재부팅할 때까지 작동합니다. 재부팅 후에는 nf_conntrack_sip이 거의 항상 작동을 멈추고 미디어 트래픽이 삭제됩니다. conntrack --dump | grep -E 'sip|helper' # No output matching 'sip' nor 'helper' while a call is in progress (albeit no ...
kubernetes 노드에서 IP당 연결 제한을 설정하기 위해 iptables connlimit를 사용하려고 합니다. VM의 각 컨테이너에는 서로 다른 소스 IP(오버레이 네트워크)가 있으므로 connlimit를 사용하면 작동합니다. 규칙을 추가했어요 iptables -I FORWARD 1 -p tcp --syn -m connlimit --connlimit-above 25 --connlimit-mask 32 -j REJECT --reject-with tcp-reset 컨테이너가 외부 서비스에 대...