Netfilter介绍
linux内核中的netfilter是一款强大的基于状态的防火墙,具有连接跟踪(conntrack)的实现。conntrack是netfilter的核心,许多增强的功能,例如,地址转换(NAT),基于内容的业务识别(l7, layer-7 module)都是基于连接跟踪。
nf_conntrack模块在kernel 2.6.15(2006-01-03发布) 被引入,支持ipv4和ipv6,取代只支持ipv4的ip_connktrack,用于跟踪连接的状态,供其他模块使用。
主要参数介绍
# 哈希表大小(只读)(64位系统、8G内存默认 65536,16G翻倍,如此类推) net.netfilter.nf_conntrack_buckets # 最大跟踪连接数,默认 nf_conntrack_buckets * 4 net.netfilter.nf_conntrack_max net.nf_conntrack_max
- 注:跟踪的连接用哈希表存储,每个桶(bucket)里都是1个链表,默认长度为4KB
- 注:netfilter的哈希表存储在内核空间,这部分内存不能swap
- 注:哈希表大小 64位 最大连接数/8 32 最大连接数/4
- 注:32位系统一条跟踪几率约为300字节。
- 注:在64位下,当CONNTRACK_MAX为 1048576,HASHSIZE 为 262144 时,最多占350多MB
状态查看
1、查找:buckets哈希表大小,max最大几率的连接条数
# netfilter模块加载时的bucket和max配置: sudo dmesg | grep conntrack
[6010550.921211] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)