主页 / server / 问题 / 1080112
Accepted
narotello
Asked: 2021-10-11 01:27:14 +0800 CST

Linux 服务器上缺少统计信息 /proc/net/stat/nf_conntrack

  • 772

出于某种原因,我的服务器上没有这样的文件..

root@serv:~# uname -a
Linux serv 5.4.0-87-generic #98~18.04.1-Ubuntu SMP Wed Sep 22 10:45:04 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
root@serv:~# cat /proc/net/stat/nf_conntrack
cat: /proc/net/stat/nf_conntrack: No such file or directory

但是我的 conntrack 肯定是启用的:

root@serv:~# lsmod | grep conntr
xt_conntrack           16384  1
nf_conntrack_netlink    45056  0
nf_conntrack          139264  2 xt_conntrack,nf_conntrack_netlink
nf_defrag_ipv6         24576  1 nf_conntrack
nf_defrag_ipv4         16384  1 nf_conntrack
libcrc32c              16384  1 nf_conntrack
nfnetlink              16384  1 nf_conntrack_netlink
x_tables               45056  3 xt_conntrack,iptable_filter,ip_tables

并且conntrack -L工作完美。
而且lnstat -f ip_conntrack还显示空输出。
是什么原因?我应该为这个文件插入一些内核模块以显示在 procfs 中吗?

firewall linux networking iptables nf-conntrack

1 个回答

  1. Best Answer

    使conntrack可用所需的相关配置/procCONFIG_NF_CONNTRACK_PROCFS

    CONFIG_NF_CONNTRACK_PROCFS: 在 procfs 中提供 CT 列表 (OBSOLETE)

    [...]

    帮助文本

    此选项允许在 net/netfilter/nf_conntrack 下的 procfs 中显示已知 conntrack 条目的列表。这被认为是过时的,有利于使用使用 Netlink 的 conntrack(8) 工具。

    OP 的内核似乎已使用此包中描述的功能构建:linux-buildinfo-5.4.0-87-generic.

    唉,/usr/lib/linux/5.4.0-87-generic/config上面的包内容告诉我们:

    # CONFIG_NF_CONNTRACK_PROCFS is not set

    所以这两个/proc/条目通常conntrack :提供/proc/net/nf_conntrack并且/proc/net/stat/nf_conntrack不会存在。

    正如文档所述,这已被conntrack使用netlink(7)内核 API 的工具取代。

    的大部分内容/proc/net/stat/nf_conntrack可以替换为:

    conntrack --count

    它给出了条目的数量(这是 中存在的第一列数据/proc/net/stat/nf_conntrack)和:

    conntrack --stats
conntrack --stats expect

    它给出了 中可用的大多数其他列的内容/proc/net/stat/nf_conntrack,有时用于(主)conntrack表,有时用于expect表,每个 CPU 也有一个。一些统计数据似乎无法通过这种方式获得(或者可能隐藏在其他地方,或者可能已经过时......)。

    如果您真的需要/proc/net/stat/nf_conntrack,您将不得不切换到具有此功能的其他内核,或者使用不同的选项重建内核。Ubuntu 似乎不再选择此内核选项,包括在较新的内核版本中。

    作为参考,这里有一个来自不同内核的示例,该内核具有此选项并使用 4 个 CPU 运行:

    # cat /proc/net/stat/nf_conntrack | column -t
entries   clashres  found     new       invalid   ignore    delete    delete_list  insert    insert_failed  drop      early_drop  icmp_error  expect_new  expect_create  expect_delete  search_restart
0000000a  00000092  00000000  00000000  00000276  00000000  00000000  00000000     00000000  00000000       00000000  00000000    00000000    00000016    0000000a       00000016       00002463
0000000a  00000000  00000000  00000000  00000009  00000000  00000000  00000000     00000000  00000001       00000001  00000000    00000000    00000000    00000004       00000000       000000eb
0000000a  00000000  00000000  00000000  00000008  00000000  00000000  00000000     00000000  00000007       00000007  00000000    00000000    00000000    00000004       00000000       00000100
0000000a  00000000  00000000  00000000  00000048  00000000  00000000  00000000     00000000  00000000       00000000  00000000    00000000    00000000    00000004       00000000       00000325
# conntrack -C
10
# conntrack -S
cpu=0       found=0 invalid=630 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=9315 
cpu=1       found=0 invalid=9 insert=0 insert_failed=1 drop=1 early_drop=0 error=0 search_restart=235 
cpu=2       found=0 invalid=8 insert=0 insert_failed=7 drop=7 early_drop=0 error=0 search_restart=256 
cpu=3       found=0 invalid=72 insert=0 insert_failed=0 drop=0 early_drop=0 error=0 search_restart=805 
# conntrack -S expect
cpu=0       expect_new=22 expect_create=10 expect_delete=22 
cpu=1       expect_new=0 expect_create=4 expect_delete=0 
cpu=2       expect_new=0 expect_create=4 expect_delete=0 
cpu=3       expect_new=0 expect_create=4 expect_delete=0 
#
    • 2

相关问题