问题[conntrack](server)

这不是关于隧道的问题，尽管这可能是解决方案的一部分。

对于公共云提供商，由于提供商拥有大型 A/B/C 类公共 IPv4 块，因此请求负载均衡器是微不足道的。然而，虽然拥有一个 ipv6 块是微不足道的，但发布负载均衡器地址并非易事，因为您不能假设传入流量支持 ipv6。如何弥合这一差距？

尝试实现：给定有限的 ipv4 公共地址 (4)，而是生成第 7 层 http 负载均衡器 A 记录，这些记录映射到 ipv4 地址。这些 ip4 地址然后路由到集群内 ipv6 集群地址。也许这里需要 SNI？

约束：不能假设 Ingres 流量支持 ipv6，因此（如果可能）需要 SNAT 来重写 ipv6 -> ipv6 并再次返回（这可能吗？）、iptables 和 conntrack 以进行连接跟踪？

E.g ingress
Load balancer A records   Public ipv4 address  <mapping (not tunnelling)>  Public ipv6 address range  
lb[1-n].example.com  ------>  192.0.2.0/24         ---->   2001:DB8::/32

E.g. egress
ipv6 address range        Public ipv4 address
2001:DB8::/32             ----->  192.0.2.0/24        ----> source ip ipv4 or ipv6

https://sookocheff.com/post/kubernetes/understanding-kubernetes-networking-model/ https://kubernetes.io/docs/concepts/services-networking/dual-stack/ netfilter https://metallb.universe.tf / https://linux.die.net/man/8/ip6tables https://community.hetzner.com/tutorials/install-kubernetes-cluster

我在 Debian 10 上运行了一个 NAT 路由器，它只需要几秒钟即可重新启动，不到 120 秒，更像是 3。我想保持已建立的连接，以便路由器的重新启动不会破坏 natted TCP 连接，但是我没有能力运行两个同步路由器。如何将 conntrack 表保存在单台机器上？

今天我到了一个客户的办公室，Hyper V 服务器已经关闭。在 Windows 事件日志中注册管理员用户已发送关闭命令。我不是唯一可以访问该用户的人。

当请求此命令时，如何从管理员用户登录的 IP 中找出（我需要查找什么事件 ID）？

谢谢。

它首先需要存储状态。我使用的一些旧的BSD防火墙，我猜它被命名为IPFW，我曾经放置一条规则，即“跟踪离开数据包的状态”，并将其放置在接口的出站方向上。然后，另一个关于入站方向的规则将它们与由出站方向规则创建的状态进行检查。所以曾经有两条规则：（1）填充状态表，这是出站方向，（2）查找状态表，这是入站方向。

但是使用 connntrack，我看到它应用在 INPUT 链上，比如这条规则：

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

这让我想知道，该声明实际上在做什么？

• 是不是说它将通过将信息放入状态表中来开始跟踪匹配该规则的数据包？
• 还是说它已经拥有状态信息，并且将根据它对入站消息采取行动？（例如，如果它们属于先前接受的连接，则接受？）。但是，在这种情况下，states 表是在哪里填充的？是哪个规则？或者它是无规则的和隐含的？

我有一个运行 Debian 7 (proxmox) 托管 OpenVZ 容器的遗留系统，我看到一个麻烦的问题，即系统被与运行 apache 前端的 VZ 容器的开放连接所淹没。

发生这种情况时，服务器上的日志会充满数千个“TCP：时间等待桶表溢出 (CT233)”错误。这与来自网络服务器的缓慢响应相结合。我能做些什么来缓解这个问题吗？

在谷歌搜索之后，我对各种 conntrack 设置进行了一些调整，但如果没有更好地了解可能产生的影响（或者，实际上，这是否真的可能有助于任何情况）

为了了解情况是什么，这是今天发生这种情况时“sysctl -a | grep conntrack”的输出：

net.netfilter.nf_conntrack_generic_timeout = 480
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 120
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 345600
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_tcp_loose = 1
net.netfilter.nf_conntrack_tcp_be_liberal = 0
net.netfilter.nf_conntrack_tcp_max_retrans = 3
net.netfilter.nf_conntrack_udp_timeout = 30
net.netfilter.nf_conntrack_udp_timeout_stream = 180
net.netfilter.nf_conntrack_icmp_timeout = 30
net.netfilter.nf_conntrack_acct = 0
net.netfilter.nf_conntrack_events = 1
net.netfilter.nf_conntrack_events_retry_timeout = 15
net.netfilter.nf_conntrack_max = 131072
net.netfilter.nf_conntrack_count = 128397
net.netfilter.nf_conntrack_buckets = 32768
net.netfilter.nf_conntrack_checksum = 1
net.netfilter.nf_conntrack_log_invalid = 0
net.netfilter.nf_conntrack_expect_max = 256
net.nf_conntrack_max = 131072

这包括我今天所做的一些更改：我将 nf_conntrack_buckets 从 16384 翻倍到 32768，我将 conntrack_generic_timeout 从 600s 缩小到 480s，并将 conntrack_tcp_timeout_builted 从 5d 缩小到 4d。

在任何给定时间，绝大多数打开的连接都在 TIME_WAIT 中。

我希望有比我推荐的更了解 TCP/内核调优的人。

谢谢！

我今天在我们的路由器上注意到以下内容：

user@router:~$ cat /proc/sys/net/ipv4/netfilter/ip_conntrack_count 
28141

然而：

user@router:~$ sudo conntrack -L > /dev/null 
conntrack v1.2.1 (conntrack-tools): 4652 flow entries have been shown.

user@router:~$ sudo conntrack -L expect > /dev/null 
conntrack v1.2.1 (conntrack-tools): 1 expectations have been shown.

我的理解是ip_conntrack_count显示了 conntrack 表的条目数。我错过了什么？

我有一个 linux box，它被设置为网络的防火墙/网关。只是想知道为什么 ss 和其他 iproute2 工具显示的内容比 iptables conntrack 少得多。是因为路由器功能仅在内核中发生吗？

ss -na

仅显示两个已建立的连接，其中作为

conntrack -L -n

显示 18 已建立的连接。