Mourad Jaber <ml-count@lundarael.dyndns.org> disait récemment :
bonjour,
C'est un peu la suite de mon précédent post voilà une semaine....
J'ai le messge de ip_conntrack full dropping packet or, j'ai fermé
l'application qui à généré les connection voilà une demi journée, tout
ce passe comme si ip_conntrack continuait à entretenir la connection
alors qu'elle n'existe plus...
J'ai listé /proc/net/ipv4/ip_conntrack et effectivement, il y a des
connections qui sont maintenu vers la machine ou tournait
l'application problematique... Quelqu'un connaitrai un moyen de
réinitialiser ip_conntrack, mis à part relancer la machine passerelle ?
Merci
Tu peux toujours essayer de charger/decharger les modules ip_conntrack
et cie, ça marche mais c'est loin d'être une solution viable.
Y'a moyen de faire mieux: apparement, par defaut, netfilter a un
timeout sur connexions tcp dites 'établies' de 5 jours... Et certains
programmes (xmule, pour ne pas le citer), ont tendance à oublier la
partie 'nettoyage'. (en 1 jour 1/2, je monte facilement à 6000 cxs,
ma limite). En baissant le timeout à 2-3 heures environ, ca passe sans
probléme.
Pour le baisser, va faire un tour sur:
http:°www.sns.ias.edu/~jns/security/iptables/iptables_conntrack.html#TCP
et descend dans la section timeout.
Recompile le module/kernel, et tout devrait bien aller...
Mourad