解决方法:
1. 更改ip_conntrack大小
# /etc/sysctl.conf
Centos5.x:
modprobe ip_conntrack
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=10800
sysctl -w net.ipv4.netfilter.ip_conntrack_max=655350
Centos6.x:
nf_conntrack_ipv4
sysctl -w net.netfilter.nf_conntrack_max=655350
sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=1800
# sysctl -p使其生效
重新应用规则时会清空已经加载的模块,因此每次iptables重启后,都要执行一遍sysctl -p,ip_conntrack满的隐患还是存在的。
2. 不加载ip_conntrack/nf_conntrack模块
修改 /etc/sysconfig/iptables-config配置文件
# vim /etc/sysconfig/iptables-config
IPTABLES_MODULES=""
/etc/sysconfig/iptables 不要配置状态的规则, 如:
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEP
时间: 2024-10-13 07:44:16