使用 UFW 禁用埠 80 的連接跟踪

在負載測試期間，我的伺服器在資源耗盡之前由於“連接跟踪”方式丟棄了數據包。我正在使用帶有 ufw 的 Ubuntu Jaunty。在我的系統日誌中，我得到：

ip_conntrack: table full, dropping packet.

我查看了增加最大連接表大小，但我不知道在這些埠上跟踪這些連接有什麼好處。我想知道如何使用 ufw 告訴它不要跟踪對埠 80 和 443 的請求。

澄清

• 無需 natting，它只是一個 Web 伺服器。

謝謝你。

連接跟踪是一個開/關開關，您不能針對某種流量選擇性地禁用它。您應該增加通過 . 下的各種 nf_conntrack_max 選項跟踪的連接數/proc/sys/net。您還可以考慮啟用 syncookies 以減少擁塞效應。

編輯：似乎 iptables-j NOTRACK允許您有選擇地禁用連接跟踪。

iptables -A PREROUTING -p tcp --dport 80 -j NOTRACK 
iptables -A PREROUTING -p tcp --dport 443 -j NOTRACK 

將為這些埠禁用連接跟踪。

引用自：https://serverfault.com/questions/43679