禁用nf_conntrack

Question

如何禁用Ubuntu12.04中的nf_conntrack模块？我试图在Ubuntu服务器上运行HAProxy，而nf_conntrack在运行时给我带来了问题。我还没有找到任何关于禁用它的文档。

谢谢

Answer 1

nf_conntrack内置在内核中..。您不能禁用它：

# lsmod | grep con

nf_conntrack_ipv4      14487  2 
nf_defrag_ipv4         12729  1 nf_conntrack_ipv4
nf_conntrack           83275  6 ipt_MASQUERADE,nf_nat,xt_state,nf_nat_ipv4,iptable_nat,nf_conntrack_ipv4

nf_conntrack是内核的处理网络通信的模块：

# rmmod nf_conntrack

Error: Module nf_conntrack is in use by: ipt_MASQUERADE nf_nat xt_state nf_nat_ipv4 iptable_nat nf_conntrack_ipv4

如果需要禁用它，可以尝试禁用依赖它的所有模块；但您可能会发现这是不可能的。我，就像一个网络系统，所以我甚至不打算尝试;)

Answer 2

1)删除iptables中对状态模块的任何引用。所以没有像这样的规则

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

the state module requires the nf_conntrack (ip_conntrack) module

2)删除/etc/sysconfig/iptables-config中的以下行(如果存在的话)

IPTABLES_MODULES="ip_conntrack_netbios_ns"

That module requires ip_conntrack which we are trying to ditch.

3)在没有状态规则的情况下重新加载iptable。

sudo iptables -F

# add your real rules

4)放下模块。我不得不用：

sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state

sudo modprobe -r nf_conntrack

confirm you don't have a reference to /proc/net/nf_conntrack

Answer 3

到目前为止，列出的答案是错误的。

首先，如果它被列为一个模块，那么它绝对不是“内置在内核中的”

创建像下面这样的文件将导致强制禁用它。

# cat /etc/modprobe.d/conntrack.conf
install nf_conntrack /bin/false