#nf_conntrack

New Post has been published on http://blog.seabow.pe.kr/?p=7102

(RHEL)sosreport 실행시 iptables(nf_conntrack) 룰이 활성화 되는 문제

문제 : RHEL6 에서 sosreport 를 실행 시킬경우 iptables 이 활성화 되면서 최악의 경우엔 /var/log/messages 파일 에아래와 같은 메시지가 발생.

내용 : 

“nf_conntrack: table full, dropping packet” <== 해당 메시지

위 메시지로만 보면 nf_contrack table 이 Full 이 되어 packet drop 이 발생된다는 내용으로 사용자는 iptables 를 활성화 한 적이 없으나? 

왜? iptables 이 활성화 되고 “nf_conntrack: table full, dropping packet” 메시지가 발생 되는지?

이해하기 힘들 것이다.

관련 내용을 찾아 보던 중 RHE6.4 에서 관련 Bug 가 확인 되었다. Link : https://bugzilla.redhat.com/show_bug.cgi?id=980390

 RHEL6.4 환경에서 openswan 패키지가 설치되어 있고 sosreport 를 실행하게되면 sosreport 의 openswan plugin 이 실행 되면서 iptables 이 활성화 되는 문제점.

관련 내용은 위의 bugzilla 를 참고.

해결 발법 : 

1. openswan 패키지 삭제 

해당 패키지가 설치되어 있는 환경에서 sosreport 실행될때 iptables 작동으로 인한 nf_conntrack 모듈이 활성화 됨.

  방법 : 

# rpm -e openswan-xxx

  *) 해당 시스템에서 해당 패키지 사용 여부 확인 후 조치 필요

  2. sos 패키지 업데이트

Link : https://bugzilla.redhat.com/show_bug.cgi?id=980390

  위 버그에 의해서 openswan 이 설치되어 있는 환경에서 sosreport 를 수행하게되면 iptables 가 작동되어 nf_conntrack 모듈이 활성화 됨.

  방법 : 

# rpm -Uvh sos-xxx.rpm

  3. /etc/sos.conf 상에 openswan plugin 비 활성화

sosreport 수행할 때 openswan plugin 을 수행하지 않도록 조치

  방법 : 

# vi /etc/sos.conf [plugins] disable = <pluginA>, <pluginB>, <pluginC>

확인 :

# sosreport --list-plugin

  Link : https://access.redhat.com/solutions/900583

  4. nf_conntrack 모듈을 blacklist 처리

  해당 모듈을 지속적으로 활성화 되지 않도록 조치

    # vi /etc/modprobe.d/blacklist.conf

  ~~~ 생략

install nf_conntrack /bin/false  <=== 끝에 추가

  관련 KBase 는 다음과 같습니다.

  How do I blacklist a kernel module to prevent it from loading automatically?