Отключить nf_conntrack

1) удалить любую ссылку на модуль состояния в iptables. Таким образом, никакие правила, такие как

-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

the state module requires the nf_conntrack (ip_conntrack) module

2) убрать следующую строку (если она существует) в / etc / sysconfig / iptables-config

IPTABLES_MODULES="ip_conntrack_netbios_ns"

That module requires ip_conntrack which we are trying to ditch.

3) перезагрузить iptables без вашего состояния правила.

sudo iptables -F

# add your real rules

4) сбросить модули. Я должен был использовать:

sudo modprobe -r xt_NOTRACK nf_conntrack_netbios_ns nf_conntrack_ipv4 xt_state

sudo modprobe -r nf_conntrack

confirm you don't have a reference to /proc/net/nf_conntrack

nf_conntrack встроено в ядро ​​... Вы не можете отключить его:

# lsmod | grep con

nf_conntrack_ipv4      14487  2 
nf_defrag_ipv4         12729  1 nf_conntrack_ipv4
nf_conntrack           83275  6 ipt_MASQUERADE,nf_nat,xt_state,nf_nat_ipv4,iptable_nat,nf_conntrack_ipv4

nf_conntrack - это модули ядра для работы с сетью связь :

# rmmod nf_conntrack

Error: Module nf_conntrack is in use by: ipt_MASQUERADE nf_nat xt_state nf_nat_ipv4 iptable_nat nf_conntrack_ipv4

Если вам нужно отключить его, вы можете попробовать отключить все модули, которые зависят от него; но вы можете обнаружить, что это невозможно. Мне, например, нравится сетевая система, поэтому я даже не собираюсь ее пробовать;)

Ответы, перечисленные до сих пор, неверны.

Во-первых, если он указан как модуль, он определенно не «встроен в ядро»

Создание файла, подобного приведенному ниже, приведет к его принудительному отключению.

# cat /etc/modprobe.d/conntrack.conf
install nf_conntrack /bin/false

если не используют модуль статистики с фильтром и не используют туземную таблицу, можно сделать это для удаления nf_conntrack.

это - тест на linux 4.14

modprobe -r iptable_nat nf_conntrack_ipv4