conntrack iptables 安全组

centos 安装yum install conntrack-tools

  1. conntrack状态

NEW: 新建连接(第一次包)。

ESTABLISHED: 已建立连接,正在传输数据。

RELATED: 与已有连接相关的连接,如 FTP 数据连接。

INVALID: 无效连接,无法识别或不完整。

UNTRACKED: 未被跟踪的连接。

  1. 常见运维操作

sysctl net.netfilter.nf_conntrack_count

sysctl nf_conntrack_max

查看会话

conntrack -L [-p icmp/tcp/udp]

#设置最大最大连接数目

sysctl -w net.netfilter.nf_conntrack_max=131072

#写入配置文件

echo "net.netfilter.nf_conntrack_max=131072" | tee -a /etc/sysctl.conf

sysctl -p

  1. 可观测

监控conntrack会话表

  1. 实战

用iptables +conntrack可实现安全组的单向控制功能

  • state: 假设服务器 A(10.10.0.1)配置的 iptables 规则为入访全不通,即 INPUT 链全 DROP,出访全通,即 OUTPUT 链全 ACCEPT。另外一台服务器 B(10.10.0.100)和 A 在同一个二层网络,则显然 B ping 不通 A, A也不能 ping 通 B ,因为 A 的包有去无回,即 A 的 ICMP 包确实能到 B,但 B 的回包却被 A 的INPUT DROP 了。通过state模块可以完美解决这个问题,指定 state 为conntack的 ESTABLISHED状态,能够匹配已经建立ct连接的回包,添加 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT规则即可。
相关推荐
JavaGuide2 分钟前
腾讯Java后端一面,被速通了!
网络·http·缓存·程序员·idea·多线程·校招·java基础·并发编程·aio·计算机基础·认证授权
JhonKI1 小时前
【Linux网络】构建HTTP响应与请求处理系统 - HttpResponse从理解到实现
linux·网络·http
猩猩—点灯1 小时前
《TCP/IP详解 卷1:协议》之第七、八章:Ping && Traceroute
网络·tcp/ip
CHTXRT1 小时前
2025第十六届蓝桥杯大赛(软件赛)网络安全赛 Writeup
c语言·网络·web安全·网络安全·蓝桥杯·wireshark
时迁2472 小时前
【计算机网络】TCP的四种拥塞控制算法
网络·tcp/ip·计算机网络
数据与人工智能律师2 小时前
正确应对监管部门的数据安全审查
大数据·网络·数据库·人工智能·区块链
网络工程师_ling3 小时前
【WLAN】华为无线AC双机热备负载分担—双链路热备份
运维·网络
Synfuture阳途4 小时前
网络准入控制系统:2025年网络安全的坚固防线
网络·安全·web安全
科技小E4 小时前
EasyRTC音视频实时通话在线教育解决方案:打造沉浸式互动教学新体验
网络·音视频
网络工程师_ling4 小时前
【华为】防火墙双击热备-之-主备模式-单外网线路-分享
网络