iptables的连线跟踪, 也俗称“状态机”。
1. 如果这台机器是做web server之类的, 应该不用状态机,更能提升网络访问速度。 因为作为web server一般防火墙规则不会太多, 但是外面的请求可能灰常的多, 这样的情况下, 就算每个进出包都来匹配一次防火墙规则, 也不会太影响速度, 而如果连接数过多, iptables要维护的连接状态也很多, 进而会影响网络速度哦。
2. 如果这台机器是用做nat,或者网关防火墙,防火墙规则很多的情况下, 使用状态机应该更能提升访问网络的速度。
状态机对于做为客户端才是最有用的,做为服务器端, 推荐使用非状态机
如何配置防火墙所支持的功能, 也要看机器具体是怎么个用途
查看ip_contrack表支持的最大记录数:
SuSE 10:
# cat /proc/sys/net/ipv4/ip_conntrack_max
16384
Fedora 9:
# cat /proc/sys/net/netfilter/nf_conntrack_max
16384
查看conntrack记录
# cat /proc/net/ip_conntrack
如何知道本机的iptables是否支持状态机:
法1. 就是上面查看ip_conntrack表是否存在
法2. lsmod | grep ip_conntrack #看ip_conntrack这个内核模块是否被加载
阅读(1670) | 评论(0) | 转发(0) |
