ip_conntrack_max测试不工作

Question

我正在尝试做一些ip_conntrack_max内核参数测试，但不知怎么的，它不起作用。

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

我已经设置了以下值来查看它的填充连接与否。

echo "10" > /proc/sys/net/netfilter/nf_conntrack_max 

现在我正在使用nc命令创建许多连接

# nc -z -n -u -v 192.168.1.100 12000-32000

我可以看到它填充了ip_conntrack表，但没有删除任何连接。我可以在那台机器上使用，连连接都是满的。我做错什么了吗？或者必须来自不同的src IP地址？

通常，我应该在/var/log/messages中获得以下消息，但我没有看到类似于下面的消息。简而言之，我正试图重新产生以下错误。

ip_conntrack: table full, dropping packet

Answer 1

解决方案：

ip_conntrack_max只观察ESTABLISHED连接，我运行的是UDP扫描程序，它没有状态。