一、问题背景
平台上的虚拟机经常遭遇DDOS攻击,由于我们启动了iptables的state模块做安全策略,因此收到攻击时经常导致物理机nf_contract表超过默值,进而影响到整个物理机上的虚拟机丢包,因此要增大该值,我通过/etc/sysctl.conf来实现这个功能。测试发现,修改后服务器(RHEL7.1)重启一直不生效!之前在RHEL6的系统上是好的啊,why ?
二、操作步骤
2.1 尝试在rc.local里面执行:sysctl -p ,reboot ,失败!
2.2 查看系统启动发现执行sysctl -p 的时候有报错:/proc/sys/net/netfilter/nf_conntrack_max: No such file or directory,突然想到肯定是执行sysctl -p的时候nf_conntrack还没被加载。
2.3 那就开机加载模块,又发现现在和之前RHEL6时配置又不一样了!去rehhat官方找到结果了。
2.4 在/etc/modules-load.d/目录下建立一个conf结尾的文件里面是模块名称,例如我建立一个netfilter.conf,内容是:
# Load nf_conntrack.ko at boot
nf_conntrack
2.5 reboot 测试,成功!
三、参考资料:
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/System_Administrators_Guide/sec-Persistent_Module_Loading.html
平台上的虚拟机经常遭遇DDOS攻击,由于我们启动了iptables的state模块做安全策略,因此收到攻击时经常导致物理机nf_contract表超过默值,进而影响到整个物理机上的虚拟机丢包,因此要增大该值,我通过/etc/sysctl.conf来实现这个功能。测试发现,修改后服务器(RHEL7.1)重启一直不生效!之前在RHEL6的系统上是好的啊,why ?
二、操作步骤
2.1 尝试在rc.local里面执行:sysctl -p ,reboot ,失败!
2.2 查看系统启动发现执行sysctl -p 的时候有报错:/proc/sys/net/netfilter/nf_conntrack_max: No such file or directory,突然想到肯定是执行sysctl -p的时候nf_conntrack还没被加载。
2.3 那就开机加载模块,又发现现在和之前RHEL6时配置又不一样了!去rehhat官方找到结果了。
2.4 在/etc/modules-load.d/目录下建立一个conf结尾的文件里面是模块名称,例如我建立一个netfilter.conf,内容是:
# Load nf_conntrack.ko at boot
nf_conntrack
2.5 reboot 测试,成功!
三、参考资料:
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/System_Administrators_Guide/sec-Persistent_Module_Loading.html