çekirdeği yeniden derlemeden CentOS 5.3'te nf_conntrack çekirdek modülünü nasıl devre dışı bırakabilirim


10

CentOS 5.3 çalıştırıyorum ve haproxy ağ performansını artırmak için nf_conntrack modülünü devre dışı bırakmak istiyorum. Bazı basit kurallarla iptables çalıştırıyorum. Bağlantı izlemeye gerçekten ihtiyacım yok.

Rackspace bulut sunucularında çalışıyorum, bu yüzden özel bir çekirdek çalıştıramıyorum. Modprobe çalıştırmayı denedim, ama çalışmıyor.

[mmarano@w1 w1]$ sudo modprobe -n -r nf_conntrack
FATAL: Module nf_conntrack is in use.

[mmarano@w1 w1]$ uname -a
Linux w1.somewhere.com 2.6.24-23-xen #1 SMP Mon Jan 26 03:09:12 UTC 2009 x86_64 x86_64 x86_64 GNU/Linux
[mmarano@w1 w1]$ cat /etc/redhat-release 
CentOS release 5.3 (Final)

Bunu söktükten sonra iptables çalıştırmaya devam etmek istiyorum, bu yüzden tüm netfilters hendek olamaz. Kimsenin düşüncesi var mı?

Yanıtlar:


16
  1. iptables içindeki durum modülüne yapılan tüm referansları kaldırın. Yani, kural yok

    -A GİRİŞ -m durumu - durum İLGİLİ, KURULU -j KABUL

    durum modülü nf_conntrack (ip_conntrack) modülünü gerektirir

  2. / etc / sysconfig / iptables-config içindeki aşağıdaki satırı (varsa) kaldırın

    IPTABLES_MODULES "ip_conntrack_netbios_ns" =

    Bu modül hendek etmeye çalıştığımız ip_conntrack gerektirir.

  3. devlet kurallarınız olmadan iptables yeniden yükleyin.

    sudo iptables -F

    # gerçek kurallarınızı ekleyin

  4. modülleri bırakın. Kullanmak zorunda kaldım:

    sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state

    sudo modprobe -r nf_conntrack

  5. / proc / net / nf_conntrack için bir referansınız olmadığını onaylayın


1
Haproxy posta listesindeki harika yardım için haproxy'nin yaratıcısı Willy Tarreau'ya BÜYÜK teşekkürler!
user22277

Gerekirse 4. adımı nasıl geri çevireceğinizi bilen var mı?
UpTheCreek

"Modprobe -rf xt_state" ve "modprobe -rf nf_conntrack_ipv6" komutlarını kullandığımda "FATAL: Module xt_state kullanımda." (Centos'ta) derken ne yapabilirim?
diyizm

Ubuntu, ben "iptables -F" ve "modprobe -rf xt_state nf_conntrack_ipv4" herhangi bir hata olmadan çalıştırabilirsiniz.
diyizm

5
  • Modülü eklemeye ne dersiniz /etc/modprobe.d/blacklist.conf?

  • Denedin mi:

    rmmod -f modulename
    

    Olmasına rağmen:

           -f --force
              Bu seçenek son derece tehlikeli olabilir:
              Çekirdek derlendiğinde CONFIG_MODULE_FORCE_UNLOAD ayarlandı.
              Bu seçenekle, kullanılan modülleri kaldırabilirsiniz,
              veya kaldırılmak üzere tasarlanmamış olan veya
              güvensiz (bkz. lsmod (8)).
    

4

Haproxy çalıştırıyorsanız, 80 bağlantı noktasındaki bağlantıyı devre dışı bırakmak için iptables'da iki tür kurala ihtiyacınız vardır: istemcilerden dengeleyicinize ve dengeleyicinizden arka uçlara bağlantılar için olanlar.

Geçerli bir örnek:

iptables -t raw -I PREROUTING -p tcp --dport 80 -j NOTRACK
iptables -t raw -I PREROUTING -p tcp  --sport 80 -j NOTRACK
iptables -t raw -I OUTPUT -p tcp --dport 80 -j NOTRACK
iptables -t raw -I OUTPUT -p tcp --sport 80 -j NOTRACK

0

"Modprobe -rf xt_state" ve "modprobe -rf nf_conntrack_ipv6" yaptığımda "FATAL: Module xt_state kullanıldı." (Centos'ta) der.

"değiştirildi" yararlı olabilir, herhangi bir modülün kullanım sayısını azaltabilir: http://www2.informatik.uni-freiburg.de/~danlee/fun/modused/

Anahtar: hizmet ip6tables dur

ve /etc/modprobe.d/blacklist.conf içine nf_conntrack, xt_state, iptable_nat, nf_nat, nf_conntrack_ipv4, nf_conntrack_ipv6 ekleyin

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.