nf_netfilter计数分析

 

nf_netfilter计数分析：

1、启动keepalived加载ip_vs模块，未加载nat模块

2、未加载nat模块net.netfilter.nf_conntrack_count = 0 始终为零仅启动不做记录

3、iptables -L -t nat 加载nat模块

查看当前加载模块

4、nat模块加载后自动统计

 

解决方案：

1. 清除已加载nat模块

rmmod iptable_nat nf_nat_ipv4 nf_conntrack_ipv4 nf_defrag_ipv4 nf_nat ip_tables x_tables

 

#备注lsmod 查找已加载模块，卸载模块时注意依赖问题，rmmod不支持依赖删除，需要手动删除相关模块

 

2、添加禁用模块

新增配置文件：/etc/modprobe.d/blacklist-my.conf

内容：

alias iptable_nat off

alias nf_nat off

 

3、验证

 

• iptables nat功能验证，已禁用

• net.netfilter.nf_conntrack_count清零

• keepalived vip切换验证，可自动漂移

 

4、注意事项

• 禁用后docker 部分功能冲突
• 禁用后keepalived lvs nat功能冲突，与公司现行keepalived无冲突

 

相关命令：conntrack 查看nf_conntrack