Problem z ip_conntrack
Witam
Nie znam się za bardzona iptables (tyle żeby postawić prosty nat)
Ostatnio w logach jednego z serwerów znalazłem komunikat:
Aug 16 17:05:40 serwer kernel: ip_conntrack: table full, dropping packet.
poszukiwania na google dały mi informację że za to odpowiedzialne
jest limit w /proc/sys/net/ipv4/ip_conntrack_max = 7168 dla tego serwera
Nie było by to większym problemem lecz limit ten dosyć szybko się wyczerpuje
Nie wszystkie połączenia zostają prawidłowo zamknięte a iptables standartowo
przechowuje otwarte połączenia przez 5 dni
Czy można zmniejszyć ren czas np do kilku godzin bez rekompilacji kernela
na google rozwiązania nie znalazłem (może żlee pytałem)
Jak można zabezpieczyć się przed przypadkiem gdy ktoś z sieci otworzy np. 10
tys połączeń co zaowocuje odmową serwera dostępu do sieci innym
użytkownikom ?
Zwiększenie limitu powyżej 7168 raczej nie wydaje mi się rozwiązaniem.
Pozdrawiam
Adam Rogalski
Reply to: