Chinaunix

标题: 用iptables的raw表解决ip_conntrack: table full, dropping packet的问题 [打印本页]

作者: so_brave 时间: 2012-01-19 22:59
标题: 用iptables的raw表解决ip_conntrack: table full, dropping packet的问题

用iptables的raw表解决ip_conntrack: table full, dropping packet的问题

iptables有5个链REROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING,4个表:filter,nat,mangle,raw.

4个表的优先级由高到低的顺序为:raw-->mangle-->nat-->filter

举例来说:如果PRROUTING链上,即有mangle表,也有nat表,那么先由mangle处理,然后由nat表处理

RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高，从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.

RAW表可以应用在那些不需要做nat的情况下，以提高性能。如大量访问的web服务器，可以让80端口不再让iptables做数据包的链接跟踪处理，以提高用户的访问速度。

执行如何指令即可
iptables -t raw -A PREROUTING -p tcp --dport 80 -j NOTRACK
iptables -t raw -A PREROUTING -p tcp --sport 80 -j NOTRACK
iptables -A FORWARD -m state --state UNTRACKED -j ACCEPT

作者: 梦境照进现实 时间: 2012-01-19 23:00
谢谢分享

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)