Netfilter Conntrack Sysfs 變數

/proc/sys/net/netfilter/nf_conntrack_* 變數:

nf_conntrack_acct - BOOLEAN

  • 0 - 停用 (預設)

  • 非 0 - 啟用

啟用連線跟蹤流統計。為每個流新增 64 位位元組和資料包計數器。

nf_conntrack_buckets - INTEGER

雜湊表的大小。如果在模組載入期間未指定為引數,則預設大小是透過將總記憶體除以 16384 來確定儲存桶的數量來計算的。雜湊表永遠不會少於 1024 個,也永遠不會超過 262144 個儲存桶。此 sysctl 僅在初始網路名稱空間中可寫。

nf_conntrack_checksum - BOOLEAN

  • 0 - 停用

  • 非 0 - 啟用 (預設)

驗證傳入資料包的校驗和。校驗和錯誤的資料包處於 INVALID 狀態。如果啟用此選項,則不會考慮此類資料包進行連線跟蹤。

nf_conntrack_count - INTEGER (只讀)

當前分配的流條目的數量。

nf_conntrack_events - BOOLEAN

  • 0 - 停用

  • 1 - 啟用

  • 2 - 自動 (預設)

如果啟用此選項,連線跟蹤程式碼將透過 ctnetlink 向用戶空間提供連線跟蹤事件。預設情況下,如果使用者空間程式正在偵聽 ctnetlink 事件,則分配擴充套件。

nf_conntrack_expect_max - INTEGER

期望表的最大大小。預設值為 nf_conntrack_buckets / 256。最小值為 1。

nf_conntrack_frag6_high_thresh - INTEGER

預設 262144

用於重新組裝 IPv6 片段的最大記憶體。當為該目的分配 nf_conntrack_frag6_high_thresh 位元組的記憶體時,片段處理程式將丟棄資料包,直到達到 nf_conntrack_frag6_low_thresh。

nf_conntrack_frag6_low_thresh - INTEGER

預設 196608

請參閱 nf_conntrack_frag6_low_thresh

nf_conntrack_frag6_timeout - INTEGER (秒)

預設 60

將 IPv6 片段儲存在記憶體中的時間。

nf_conntrack_generic_timeout - INTEGER (秒)

預設 600

通用超時的預設值。這指的是第 4 層未知/不支援的協議。

nf_conntrack_icmp_timeout - INTEGER (秒)

預設 30

ICMP 超時的預設值。

nf_conntrack_icmpv6_timeout - INTEGER (秒)

預設 30

ICMP6 超時的預設值。

nf_conntrack_log_invalid - INTEGER

  • 0 - 停用 (預設)

  • 1 - 記錄 ICMP 資料包

  • 6 - 記錄 TCP 資料包

  • 17 - 記錄 UDP 資料包

  • 33 - 記錄 DCCP 資料包

  • 41 - 記錄 ICMPv6 資料包

  • 136 - 記錄 UDPLITE 資料包

  • 255 - 記錄任何協議的資料包

記錄由值指定的型別的無效資料包。

nf_conntrack_max - INTEGER

允許的最大連線跟蹤條目數。預設情況下,此值設定為 nf_conntrack_buckets。請注意,連線跟蹤條目會新增到表中兩次 - 一次用於原始方向,一次用於回覆方向(即,使用反向地址)。這意味著使用預設設定,最大化的表將具有平均雜湊鏈長度 2,而不是 1。

nf_conntrack_tcp_be_liberal - BOOLEAN

  • 0 - 停用 (預設)

  • 非 0 - 啟用

在你做的事情上保守,在你接受來自他人的事物時自由。如果它非零,我們只將視窗外的 RST 段標記為 INVALID。

nf_conntrack_tcp_ignore_invalid_rst - BOOLEAN

  • 0 - 停用 (預設)

  • 1 - 啟用

如果它是 1,我們不會將視窗外的 RST 段標記為 INVALID。

nf_conntrack_tcp_loose - BOOLEAN

  • 0 - 停用

  • 非 0 - 啟用 (預設)

如果設定為零,我們將停用拾取已建立的連線。

nf_conntrack_tcp_max_retrans - INTEGER

預設 3

未收到來自目標的可接受 ACK 的情況下,可以重新傳輸的最大資料包數。如果達到此數字,將啟動一個較短的計時器。

nf_conntrack_tcp_timeout_close - INTEGER (秒)

預設 10

nf_conntrack_tcp_timeout_close_wait - INTEGER (秒)

預設 60

nf_conntrack_tcp_timeout_established - INTEGER (秒)

預設 432000 (5 天)

nf_conntrack_tcp_timeout_fin_wait - INTEGER (秒)

預設 120

nf_conntrack_tcp_timeout_last_ack - INTEGER (秒)

預設 30

nf_conntrack_tcp_timeout_max_retrans - INTEGER (秒)

預設 300

nf_conntrack_tcp_timeout_syn_recv - INTEGER (秒)

預設 60

nf_conntrack_tcp_timeout_syn_sent - INTEGER (秒)

預設 120

nf_conntrack_tcp_timeout_time_wait - INTEGER (秒)

預設 120

nf_conntrack_tcp_timeout_unacknowledged - INTEGER (秒)

預設 300

nf_conntrack_timestamp - BOOLEAN

  • 0 - 停用 (預設)

  • 非 0 - 啟用

啟用連線跟蹤流時間戳。

nf_conntrack_sctp_timeout_closed - INTEGER (秒)

預設 10

nf_conntrack_sctp_timeout_cookie_wait - INTEGER (秒)

預設 3

nf_conntrack_sctp_timeout_cookie_echoed - INTEGER (秒)

預設 3

nf_conntrack_sctp_timeout_established - INTEGER (秒)

預設 210

預設設定為 (hb_interval * path_max_retrans + rto_max)

nf_conntrack_sctp_timeout_shutdown_sent - INTEGER (秒)

預設 3

nf_conntrack_sctp_timeout_shutdown_recd - INTEGER (秒)

預設 3

nf_conntrack_sctp_timeout_shutdown_ack_sent - INTEGER (秒)

預設 3

nf_conntrack_sctp_timeout_heartbeat_sent - INTEGER (秒)

預設 30

此超時用於在輔助路徑上設定 conntrack 條目。預設設定為 hb_interval。

nf_conntrack_udp_timeout - INTEGER (秒)

預設 30

nf_conntrack_udp_timeout_stream - INTEGER (秒)

預設 120

如果檢測到 UDP 流,將使用此擴充套件超時。

nf_conntrack_gre_timeout - INTEGER (秒)

預設 30

nf_conntrack_gre_timeout_stream - INTEGER (秒)

預設 180

如果檢測到 GRE 流,將使用此擴充套件超時。

nf_hooks_lwtunnel - BOOLEAN

  • 0 - 停用 (預設)

  • 非 0 - 啟用

如果啟用此選項,則啟用輕量級隧道 netfilter 鉤子。一旦啟用此選項,就無法停用它。

nf_flowtable_tcp_timeout - INTEGER (秒)

預設 30

控制 tcp 連線的解除安裝超時。 TCP 連線可以從 nf conntrack 解除安裝到 nf 流表。老化後,連線將返回到 nf conntrack。

nf_flowtable_udp_timeout - INTEGER (秒)

預設 30

控制 udp 連線的解除安裝超時。 UDP 連線可以從 nf conntrack 解除安裝到 nf 流表。老化後,連線將返回到 nf conntrack。