Re: Vidage de table ip_conntrack

[Olive <enchere_email@yahoo.fr>]

On Mon, 02 May 2005 01:15:23 +0200, "Pascal@plouf"
<pascal.mail@plouf.fr.eu.org> wrote :

Salut !

> > Le véritable problème est que en attendant j'aurais aimé vidé la
> > table ip_conntrack sans devoir rebooter. Une brève recherche sur
> > google me dit qu'il faut tout simplement que je décharge le module
> > ip_conntrack. Seulement voilà celui-ci dépend de ipt_state et de
> > iptable_nat et
> 
> C'est plutôt l'inverse : ipt_state et iptable_nat dépendent de
> ip_conntrack.

Oui pardon, je me suis trompé de sens...

> > ceux-là je n'arrive pas à les décharger avec rmmod car apparemment
> > ils sont utilisés (ou indisponibles ?) mais je ne sais pas par qui :
> 
> > :/var/log# lsmod
> > Module                  Size  Used by
> [...]
> > ipt_state               1408  24 
> > iptable_mangle          2080  0 
> > iptable_nat            22088  1 
> > ip_conntrack           40596  2 ipt_state,iptable_nat
> > iptable_filter          2848  1 
> > ip_tables              16576  4
> > 	ipt_state,iptable_mangle,iptable_nat,iptable_filter
> 
> Tiens, tu n'utilises pas les modules ip_conntrack_ftp et ip_nat_ftp
> pour  ne pas avoir de problème avec les connexions FTP ?

Ah j'avoue que non. Je ne me suis jamais trop intéressé aux connexions
FTP car je n'en fais très très rarement sauf pour récupérer de temps en
temps le nouveau noyau/gcc/live CD (et même dans ces cas là j'essaye
maintenant de plutôt utiliser bittorrent via mldonkey justement). En
tous les cas c'est toujours moi qui initie la connexion donc je n'ai pas
jugé nécessaire d'écrire des règles spécifiques pour le FTP... C'est
'dangereux' ce raisonnement ?

> 
> > rmmod ipt_state ou rmmod iptable_nat me donne le message d'erreur
> > suivant : ERROR: Module iptable_nat is in use
> > J'ai essayé virer tous les modules, mais à la fin je n'ai
> > pratiquement plus rien et ces deux là ne veulent toujours pas partir
> > même avec l'option -f :
> > ERROR: Removing 'iptable_nat': Resource temporarily unavailable
> > 
> > Donc quelqu'un pourrait-il me donner une explication et/ou une
> > méthode pour décharger ces modules ?
> 
> ipt_state est utilisé par les règles iptables contenant une 
> correspondance "-m state". iptable_nat est utilisé par les règles 
> iptables contenant une cible "-j DNAT" ou "-j SNAT". Il faut supprimer

Ah ok merci du tuyau. J'ai fait un 'iptables -t filter -F' pour vider la
table filter et enlever ipt_state et un 'iptables -t nat -F'
pour enlever iptable_nat. Ce qui m'a permis d'enlever ip_conntrack et de
ré-initialiser la table ip_conntrack

> toutes ces règles pour pouvoir décharger ces modules.
> 
> > Ou une autre méthode pour vider la table ip_conntrack ?
> 
> S'il en existe une, je l'ignore mais je suis intéressé. Tu as essayé
> de  baisser /proc/sys/net/ipv4/ip_conntrack_max très bas ?
> 

Pour ensuite le remettre à son niveau initial ?
Non j'avoue que non, je vais essayer dès que ma table sera de nouveau
remplie (parce que du coup je viens de la vider là... ;-)).
Bizarre quand même ce remplissage de table à outrance...
Qu'est-ce qu'il me fabrique ce mldonkey ?
Au fait tu ne saurais pas par hasard pourquoi on a mis cette valeur
élevée de 5 jours pour le timeout des connexions ?

En tout cas merci, je n'aurais plus besoin de rebooter !